TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
Gi ớ i thi ệ u
Trong những năm gần đây, hệ thống phát hiện xâm nhập (IDS) đã trở thành thiết bị tiêu chuẩn cho các doanh nghiệp lớn, tuy nhiên, phương pháp hiện tại để kiểm tra hiệu quả của IDS vẫn chưa toàn diện Một phần nguyên nhân là do người tiêu dùng chưa yêu cầu các biện pháp hiệu quả khi mua IDS, và các đơn vị nghiên cứu chưa đầu tư đủ vào lĩnh vực này Mặc dù phương pháp đo lường hiệu suất tồn tại, nhưng việc định lượng hiệu năng của IDS vẫn gặp nhiều rào cản nghiên cứu Bài viết này sẽ trình bày các phép đo định lượng cần thiết, những trở ngại hiện tại và đề xuất cho các nghiên cứu nhằm cải thiện phương pháp đo lường hiệu suất của hệ thống phát hiện xâm nhập.
Đặc điểm của đánh giá hệ thống phát hiện xâm nhập
Trong phần này chúng tôi liệt kê một bộ các phép đo mà có thể được thực hiện trên hệ thống phát hiện xâm nhập – IDS
Số đo này xác định khả năng phát hiện tấn công của hệ thống IDS trong điều kiện lý tưởng, với các hệ thống dựa trên chữ ký chỉ cần đếm số lượng chữ ký và lập bản đồ chúng theo sơ đồ đặt tên tiêu chuẩn Trong khi đó, đối với các hệ thống phi chữ ký, cần xác định các tấn công bên ngoài tập hợp các tấn công đã biết thông qua phương pháp đặc biệt Mỗi cuộc tấn công nhắm đến một mục tiêu cụ thể, như từ chối dịch vụ, thâm nhập hoặc quét, và phần mềm chống tấn công thường chạy trên các phiên bản hệ điều hành cụ thể hoặc giao thức mạng nhất định.
Các cuộc tấn công mạng có thể phụ thuộc vào phần cứng của hệ thống, phiên bản giao thức và phương thức hoạt động Nghiên cứu đã chỉ ra rằng các cuộc tấn công có nhiều mục tiêu và phương thức khác nhau, làm cho việc xác định số lượng cuộc tấn công mà IDS phát hiện trở nên khó khăn Danh sách Common Vulnerabilities and Exposures (CVE) cung cấp thông tin về các lỗ hổng, nhưng không giải quyết được vấn đề của các cuộc tấn công phức tạp nhằm khai thác lỗ hổng bằng các phương pháp khác nhau để tránh hệ thống IDS Để cải thiện tình hình, các nhóm tiêu chuẩn CVE đã khởi động một dự án nhằm đặt tên cho các cuộc tấn công, tuy nhiên, công việc này vẫn đang trong giai đoạn nghiên cứu.
Một thách thức trong việc đánh giá độ bao phủ của các cuộc tấn công là xác định tầm quan trọng của các kiểu tấn công khác nhau Các trang web có thể có những cách tiếp cận khác nhau về chi phí quản lý và mức độ quan trọng trong việc phát hiện các kiểu tấn công Đặc biệt, các nhà quản lý trang web thương mại điện tử thường không chú trọng đến việc phát hiện và phân tích các tia quét hay giám sát những cuộc tấn công nhằm xác định máy chủ và tài nguyên trên mạng Thực tế, nhiều cuộc tấn công không ảnh hưởng đến hoạt động kinh doanh.
Quản lý thương mại điện tử cần chú trọng đến việc phát hiện các cuộc tấn công từ chối dịch vụ (DDoS) và các trường hợp máy chủ bị xâm phạm hoặc trang web bị ẩn danh Điều này khác với phương pháp đánh giá thương mại thông thường, thường chỉ tập trung vào việc dò tìm và giám sát các cuộc tấn công Các trang web quân sự thường chú trọng vào việc giám sát để xác định nguồn gốc của các mối đe dọa nghiêm trọng hơn.
Hầu hết các trang web không thể phát hiện các cuộc tấn công tìm kiếm lỗ hổng thất bại, đặc biệt khi hệ thống đã được vá và không còn dễ bị tấn công Các cuộc tấn công có thể không thành công do hệ điều hành không còn tồn tại hoặc nhờ vào sự bảo vệ của tường lửa và các thiết bị an ninh khác Một số trang web chỉ có khả năng giám sát một phần nhỏ trong hàng ngàn lỗi bảo mật được ghi nhận trong CVE, và tình hình này sẽ thay đổi theo từng hệ thống được cập nhật, vá lỗi và cấu hình lại khi có lỗ hổng mới xuất hiện.
1.2.2 Xác suất của báo động giả
Số đo này xác định tỷ lệ dương tính với phát hiện sai của IDS trong một môi trường cụ thể Báo động giả là cảnh báo từ lưu lượng tin bình thường không độc hại Nguyên nhân của các cảnh báo sai từ Network IDS (NIDS) thường bao gồm: cảnh báo từ lưu lượng truy cập đến các cổng cao mà backdoor sử dụng, tìm kiếm từ phổ biến như "help" trong 100 byte đầu tiên của SNMP, hoặc phát hiện hành vi vi phạm giao thức TCP Ngoài ra, các cảnh báo này có thể do lưu lượng giám sát bình thường và bảo vệ mạng từ các công cụ quản lý tạo ra Việc đo lường các báo động sai là thách thức, vì IDS có thể có tỷ lệ dương tính với nhiều loại báo động giả khác nhau.
Trong môi trường mạng hiện nay, không tồn tại một "tiêu chuẩn mạng" rõ ràng, khiến việc xác định các yếu tố gây ra báo động giả trở nên khó khăn Điều này dẫn đến việc tạo ra số lượng và kiểu báo động sai trong kiểm thử IDS không giống như trong các mạng thực tế Để giảm tỷ lệ dương tính giả, IDS có thể được cấu hình và điều chỉnh theo nhiều cách khác nhau, nhưng điều này cũng làm phức tạp việc xác định cấu hình phù hợp cho kiểm thử dương tính giả đặc biệt.
Đường cong ROC tổng hợp xác suất của các báo động giả và xác suất phát hiện, đóng vai trò quan trọng trong cộng đồng thử nghiệm IDS Nó tóm tắt mối quan hệ giữa hai đặc điểm quan trọng nhất của IDS: tỷ lệ dương tính sai và xác suất phát hiện Hình 1 minh họa đường cong hoạt động đặc trưng (ROC) được tạo ra bởi hai hệ thống trong thử nghiệm IDS.
Hình 1 Đường cong ROC- Độ chính xác tỷ lệ phần trăm các tấn công bị phát hiện với tỷ lệ phần trăm báo động sai
Trục x biểu thị tỷ lệ báo động sai trong một bài kiểm tra, trong khi trục y thể hiện tỷ lệ phần trăm các cuộc tấn công được phát hiện tại bất kỳ tỷ lệ phần trăm báo động giả nào Một hệ thống phát hiện xâm nhập (IDS) có thể hoạt động ở nhiều điểm khác nhau trên đường cong Trong ví dụ này, hệ thống 1 có thể được điều chỉnh để hoạt động ở nhiều mức độ khác nhau, trong khi hệ thống 2 gặp khó khăn trong việc cấu hình vì chỉ có một điểm hoạt động duy nhất.
Đường cong ROC thể hiện xác suất trên trục x và y, nhưng việc xác định các đơn vị đo lường cho lưu lượng bình thường là khó khăn Do đó, các nhà nghiên cứu đã sử dụng báo động sai theo mỗi đơn vị thời gian trên trục x để xác định số lượng tối đa báo động sai có thể xảy ra trong một khoảng thời gian nhất định Đơn vị đo lường này phụ thuộc vào cách tính năng được tách xuất trong hệ thống phát hiện xâm nhập (IDS) từ dữ liệu đầu vào, và rất khó xác định cho các hệ thống thương mại và hộp đen Để đánh giá hiệu quả, nên vẽ tỷ lệ phát hiện so với báo động giả theo mỗi đơn vị thời gian Những đường cong này không phải là đường cong ROC thực sự, nhưng vẫn cung cấp thông tin quan trọng khi phân tích và so sánh IDS Trong hình 1, cả hai hệ thống dựa trên NIDS, với đơn vị đo là tổng số gói tin truyền qua mạng, và trong trường hợp tồi tệ nhất, một IDS có thể phát hành một cảnh báo cho mỗi gói tin, dẫn đến số lượng tối đa cảnh báo bằng tổng số gói tin truyền đi.
Tỷ lệ phát hiện của hệ thống phát hiện xâm nhập (IDS) phản ánh khả năng nhận diện chính xác các cuộc tấn công trong một khoảng thời gian nhất định Tuy nhiên, việc đo lường tỷ lệ này gặp khó khăn do sự phụ thuộc vào các thiết lập của các cuộc tấn công trong quá trình đánh giá Hơn nữa, khả năng phát hiện cũng bị ảnh hưởng bởi tỷ lệ dương tính giả, điều này có thể làm giảm hiệu quả của IDS.
Hệ thống có thể được cấu hình để ưu tiên khả năng phát hiện các cuộc tấn công hoặc để giảm thiểu tình trạng báo động giả.
Một Hệ thống phát hiện xâm nhập mạng (NIDS) có khả năng phát hiện các cuộc tấn công, ngay cả khi chúng được thực hiện bằng các phương pháp tàng hình Các kỹ thuật tấn công tàng hình bao gồm phân mảnh gói tin, sử dụng dữ liệu mã hóa đa dạng, cờ TCP bất thường, mã hóa gói tin tấn công, tấn công lan rộng qua nhiều phiên mạng và phát động từ nhiều nguồn khác nhau.
1.2.4 Khả năng chống tấn công trực tiếp tại IDS
Việc đo đạc khả năng chịu đựng của một Hệ thống Phát hiện X second (IDS) trước các cuộc tấn công cho thấy mức độ ảnh hưởng của những nỗ lực tấn công đến hoạt động chính xác của IDS Các cuộc tấn công nhằm vào IDS có thể diễn ra dưới nhiều hình thức khác nhau.
Một lượng lớn lưu lượng truy cập không tấn công có thể vượt quá khả năng xử lý của Hệ thống phát hiện xâm nhập (IDS) Khi có quá nhiều lưu lượng đến, IDS có thể giảm thiểu các gói dữ liệu, dẫn đến việc không phát hiện được các cuộc tấn công.
N ỗ l ực đánh giá IDS hiệ n có
Các nỗ lực đánh giá IDS có sự khác biệt rõ rệt về chiều sâu, phạm vi, phương pháp và độ tập trung Bảng 1 tóm tắt các đặc điểm của một số đánh giá tại các nước phát triển, cho thấy sự gia tăng độ phức tạp theo thời gian với việc bao gồm nhiều IDS và các loại tấn công đa dạng như tấn công tàng hình và từ chối dịch vụ (DoS) Đồng thời, các đánh giá hệ thống thương mại đã tích hợp các phép đo hiệu suất trong điều kiện tải trọng lưu lượng cao.
Bảng 1 Đặc điểm của các đánh giá IDS
16 | P a g e Đưới đây cung cấp thông tin chi tiết liên quan đến tất cả các đánh giá thể hiện trong Bảng 1
1.3.1 Đại học California tại Davis (UCD)
Nghiên cứu ban đầu tại Đại học California tại Davis đã dẫn đến việc phát triển nền tảng thử nghiệm IDS đầu tiên, tự động khởi động các cuộc tấn công thông qua telnet, FTP và rlogin Một hệ thống phát hiện xâm nhập mạng, được gọi là Network Security Monitor (NSM), đã được thiết lập để phát hiện các cuộc tấn công trong lưu lượng mạng bằng cách sử dụng kết hợp từ khoá Các cuộc tấn công được đánh giá bao gồm việc đoán mật khẩu, truyền tải tệp mật khẩu đến máy chủ từ xa, và khai thác lỗ hổng trong chương trình mô-đun tải để chiếm quyền kiểm soát trên máy Unix Tuy nhiên, NSM đã bỏ lỡ một số cuộc tấn công cho đến khi các từ khóa bổ sung được thêm vào.
1.3.2 Phòng thí nghiệm Lincoln MIT (MIT/LL)
MIT/LL đã tiến hành các thử nghiệm IDS định lượng lớn nhất từ trước đến nay, với sự tài trợ từ Cơ quan Nghiên cứu Dự án Bộ Quốc phòng Mỹ (DARPA).
Vào năm 1998 và 1999, LL đã thực hiện thử nghiệm IDS quy mô lớn Năm 1999, các nỗ lực đánh giá đã tạo ra lưu lượng nền tương tự như trên một căn cứ không quân, nơi có hàng trăm người dùng hoạt động trên hàng ngàn máy chủ.
Trong một nghiên cứu kéo dài bảy tuần để tạo dữ liệu và hai tuần để kiểm thử, đã có 200 trường hợp của 58 loại tấn công, bao gồm cả các cuộc tấn công tàng hình, được cài đặt Khác với đánh giá năm 1998, đánh giá năm 1999 tập trung vào khả năng của hệ thống trong việc phát hiện các cuộc tấn công mới mà không cần đào tạo trước về các trường hợp tấn công Các cuộc tấn công tự động đã được thực hiện để kiểm tra hiệu quả của hệ thống.
Hệ thống IDS đã được thử nghiệm trên ba loại máy nạn nhân: UNIX (bao gồm SunOS, Solaris, Linux), Windows, NT host, và một bộ định tuyến, với sự hỗ trợ của lưu lượng truyền nền Nghiên cứu đã chỉ ra tỷ lệ phát hiện các cuộc tấn công, tỷ lệ báo động giả cho lưu lượng nền, cùng với các đường cong ROC, thông qua 18 loại tấn công khác nhau, bao gồm DoS, thăm dò, remote-to-local, và user-to-super-user Một cuộc tấn công được coi là đã được phát hiện nếu IDS tạo ra cảnh báo cho các máy tính bị tấn công, cho thấy lưu lượng tin được chỉ thị hoặc hoạt động trên máy chủ nạn nhân Ngoài ra, phân tích các cuộc tấn công đã được thực hiện để xác định khả năng của IDS trong việc cung cấp chính xác tên và chi tiết các cuộc tấn công cũ, bao gồm cả địa chỉ liên quan.
Kết quả nghiên cứu cho thấy, việc kết hợp giữa mạng và phương pháp tiếp cận dựa trên máy chủ đã mang lại hiệu quả tối ưu trong việc xác định IP nguồn, cổng sử dụng, cũng như thời gian bắt đầu và kết thúc của cuộc tấn công.
1.3.3 Phòng thí nghiệm nghiên cứu không quân (AFRL)
AFRL, dưới sự tài trợ của DARPA, đã hợp tác với MIT/LL để nghiên cứu và đánh giá hệ thống phát hiện xâm nhập (IDS) vào năm 1998 và 1999 Phương pháp của họ tương tự như MIT/LL, sử dụng một số loại lưu lượng truy cập và phần mềm tấn công của MIT/LL, nhưng tập trung vào việc thử nghiệm IDS trong thời gian thực trong một môi trường mạng phân cấp phức tạp hơn.
Hệ thống IDS đã được triển khai trong một thử nghiệm kéo dài bốn giờ, trong đó lưu lượng nền được chạy và các cuộc tấn công được thực hiện trên các máy chủ trong lưu lượng này AFRL đã phát triển phần mềm để mô phỏng một mạng lưới lớn bằng cách tự động gán địa chỉ IP nguồn cho phiên mạng cá nhân trên máy tính thử nghiệm Các thử nghiệm năm 1998 đã đánh giá ba nghiên cứu IDS dựa trên chữ ký và một hệ thống chính phủ off-the-shelf (GOTS) tương tự như NSM, cho thấy hệ thống nghiên cứu có tỷ lệ báo động giả thấp hơn đáng kể so với hệ thống truyền thống.
GOTS, nhưng phát hiện tấn công tổng thể có độ chính xác vẫn còn khoảng 25% ở mức báo động giả chấp nhận được
Tổng công ty MITRE đã tổ chức sự kiện Intrusion Detection Fly-Off, đánh giá đầu tiên về hệ thống phát hiện xâm nhập cho cả thương mại và chính phủ Cuộc điều tra này tập trung vào các đặc trưng và khả năng của mạng dựa trên IDS, với bảy hệ thống IDS được thử nghiệm qua hai giai đoạn Giai đoạn I thực hiện các cuộc tấn công đơn giản bằng công cụ như SATAN, giúp IDS làm quen và cho phép kẻ tấn công thực hành Giai đoạn II mô phỏng các cuộc tấn công phức tạp hơn, bao gồm cả tàng hình Kết quả đánh giá bao gồm khả năng thời gian cảnh báo, báo cáo năng lực, phân tích offline, khả năng phản ứng và hệ thống quản lý từ xa.
Phân tích điểm yếu trong việc thực hiện và ổn định của các hệ thống kiểm thử cho thấy rằng hai hệ thống thương mại phát hiện ít cuộc tấn công cấp độ thấp hơn so với ba hệ thống chính phủ phát triển, có thể do số lượng chữ ký cho các cuộc tấn công nhiều hơn Mặc dù vậy, hệ thống chính phủ phát triển lại tỏ ra hiệu quả hơn trong việc phát hiện và phân tích các cuộc tấn công cấp cao trong phiên tương tác Tuy nhiên, những kẻ tấn công nắm vững các chữ ký trong IDS đã có khả năng thực hiện các cuộc tấn công tàng hình mà không bị phát hiện.
Từ năm 1999, tạp chí Network Computing đã hợp tác với Neohapsis Laboratories để đánh giá các sản phẩm phát hiện xâm nhập (IDS) thương mại, bao gồm 13 IDS thương mại và Snort IDS mã nguồn mở Các đánh giá tập trung vào các yếu tố quan trọng như tính dễ sử dụng, khung quản lý, độ ổn định, chi phí hiệu quả, chất lượng chữ ký và khả năng tùy biến Ngoài ra, các kết quả định lượng cũng được xem xét, bao gồm số lượng cuộc tấn công được phát hiện và khả năng xử lý tối đa của IDS trước khi xảy ra tình trạng bỏ sót gói dữ liệu hoặc không thực hiện kiểm tra chữ ký.
Nhóm NSS đã tiến hành đánh giá hệ thống phát hiện xâm nhập (IDS) và quét lỗ hổng trong giai đoạn 2000-2001, với báo cáo năm 2001 bao gồm 15 sản phẩm IDS thương mại và mã nguồn mở Snort Các báo cáo này cung cấp thông tin chi tiết về kiến trúc, cài đặt và cấu hình của từng IDS Mười hai IDS được so sánh dựa trên 18 hoặc 66 lỗ hổng phổ biến, bao gồm các loại tấn công như quét cổng, DoS, Distributed DoS, Trojans, và các cuộc tấn công trên web, FTP, SMTP, POP3, ICMP, cũng như tấn công Finger Chỉ những cuộc tấn công được báo cáo "càng đơn giản và rõ ràng càng tốt" mới được tính là phát hiện Tỷ lệ phát hiện tấn công được đo trên mạng 100 Mbit/s với không có lưu lượng tin và lưu lượng nhỏ (64 byte) trong điều kiện thực tế.
(1514 byte) các gói tin tiêu thụlần lượt các giá trị 0%, 25%, 50%, 75% và 100% băng thông mạng.
Một đánh giá hạn chế về IDS thương mại đã được Tạp chí Network World Fusion công bố, nhấn mạnh tính năng dễ dàng thiết lập và sử dụng của nó Tuy nhiên, đánh giá cũng chỉ ra độ chính xác trong việc phát hiện chỉ đạt 27 tấn.
Cuộc tấn công web tàng hình đã được thực hiện nhắm vào ba máy tính nạn nhân, sử dụng công cụ tấn công có tên gọi "whisker".
Những thách thức của Testing IDS
Có một số khía cạnh của các IDS khiến cho việc đánh giá IDS trở nên nhiều thách thức hơn Cụ thể được trình bày dưới đây
1.4.1 Những khó khăn trong việc thu thập Scripts tấn công và phần mềm Victim
Một thách thức lớn trong việc tiến bộ của lĩnh vực này là việc thu thập kịch bản tấn công và phần mềm nạn nhân, điều này vừa khó khăn vừa tốn kém Mặc dù các kịch bản tấn công có sẵn trên Internet, việc tìm kiếm kịch bản phù hợp cho môi trường thử nghiệm cụ thể vẫn tốn nhiều thời gian Sau khi xác định được kịch bản, người có kinh nghiệm cần khoảng một tuần để xem xét mã, kiểm tra khai thác, phát hiện các lỗ hổng, tự động hóa các cuộc tấn công và tích hợp vào môi trường thử nghiệm Như Bảng 1 đã chỉ ra, số lượng kiểu tấn công được sử dụng trong đánh giá thực thi là rất đa dạng.
Việc thu thập phần mềm nạn nhân phù hợp với các kịch bản tấn công trong khoảng thời gian từ 9 đến 66 là rất khó khăn nhưng cần thiết Các kịch bản tấn công thường chỉ tương thích với những phiên bản cụ thể của phần mềm, điều này khiến cho việc đạt được phần mềm phù hợp trở nên phức tạp.
Phần mềm có thể khó tiếp cận do chi phí cao hoặc không được công khai Ngoài ra, các phiên bản phần mềm cũ dễ bị tổn thương cũng không dễ dàng tìm thấy từ các nhà cung cấp Việc có phần mềm dễ bị tổn thương là rất quan trọng cho việc đánh giá và phát hiện các gói tin tấn công, không chỉ đơn giản là đưa vào một IDS Thiếu thông tin về các tính năng sử dụng có thể gây khó khăn trong việc bảo mật.
21 | P a g e dụng để phát hiện các cuộc tấn công, cách duy nhất để xác định xem một cuộc tấn công được phát hiện là chạy thành công cuộc tấn côngđó
1.4.2 Nh ữ ng yêu c ầ u khác bi ệ t cho nh ữ ng đánh giá IDS d ạ ng Signature Based và
Mặc dù hầu hết các hệ thống phát hiện xâm nhập thương mại là Signature
Nhiều hệ thống nghiên cứu hiện nay dựa trên phương pháp Anomaly Based, tuy nhiên, nếu một phương pháp thử nghiệm IDS có thể áp dụng cho cả hai loại hệ thống thì sẽ rất hữu ích Điều này đặc biệt quan trọng khi chúng tôi muốn so sánh hiệu suất của các hệ thống nghiên cứu sắp tới với các hệ thống thương mại hiện có.
Việc tạo ra một đánh giá duy nhất cho cả hai loại hệ thống gặp phải nhiều vấn đề Hệ thống phát hiện bất thường (Anomaly Based) cần lưu lượng dữ liệu thông thường để đào tạo, không bao gồm các cuộc tấn công Theo đánh giá của MIT/LL năm 1999, loại dữ liệu này rất cần thiết cho việc huấn luyện các hệ thống phát hiện bất thường, nhưng lại không có sẵn cho các đánh giá khác.
Phương pháp Anomaly Based có khả năng nhận diện các yếu tố bất thường trong quá trình đánh giá mà không cần phát hiện các cuộc tấn công thực sự Điều này có thể xảy ra khi tất cả các cuộc tấn công trong thử nghiệm xuất phát từ một người dùng, địa chỉ IP, subnet hoặc địa chỉ MAC cụ thể Hệ thống Anomaly có thể nhận diện những đặc điểm tinh vi như kích thước gói tin, cổng, tốc độ gõ, lệnh set, cờ TCP và thời gian kết nối, cho phép nó hoạt động hiệu quả trong các môi trường kiểm thử Ngược lại, các hệ thống IDS dựa trên chữ ký (Signature Based) chỉ phát hiện một tập hợp các cuộc tấn công cụ thể.
1.4.3 Nh ữ ng yêu c ầ u khác bi ệ t cho nh ững đánh giá IDS Network Based vớ i Host
Đánh giá IDS dựa trên máy chủ (host-based IDS) gặp nhiều khó khăn hơn so với IDS dựa trên mạng (network-based IDS) Một lợi thế lớn của IDS mạng là có thể được kiểm tra ngoại tuyến bằng cách tạo ra một tập tin log chứa lưu lượng TCP và phát lại lưu lượng này cho các IDS Điều này cho phép không cần phải kiểm tra tất cả các IDS cùng một lúc, đồng thời cũng dễ dàng thực hiện các bài kiểm tra lặp lại.
Các IDS dựa trên máy chủ (host-based IDS) sử dụng nhiều yếu tố đầu vào khác nhau để xác định xem hệ thống có đang bị tấn công hay không, và tập hợp các yếu tố này có thể khác nhau giữa các IDS Chúng được thiết kế để theo dõi một máy chủ cụ thể thay vì chỉ tập trung vào một nguồn cấp dữ liệu như IDS dựa trên mạng (network-based IDS) Tuy nhiên, việc phân tích lại từ các tệp log để kiểm tra hiệu quả của IDS dựa trên máy chủ trở nên khó khăn.
1.4.4 Các phương pháp tiế p c ậ n t ớ i vi ệ c s ử d ụng Background Traffic trong đánh giá IDS i Đánh giá không sử dụng background traffic/logs
Trong thí nghiệm này, một hệ thống phát hiện xâm nhập (IDS) được thiết lập trên máy chủ hoặc mạng không hoạt động, sau đó các cuộc tấn công máy tính được khởi động để kiểm tra khả năng phát hiện của IDS Kỹ thuật này giúp xác định tỷ lệ phát hiện của IDS nhưng không cung cấp thông tin về tình trạng dương tính giả Ưu điểm của phương pháp này là xác minh rằng IDS có thể nhận diện và gán nhãn chính xác cho một loạt các cuộc tấn công, đồng thời thường ít tốn kém hơn so với các phương pháp khác như sử dụng thư viện hay tạo ra lưu lượng mạng nền hoặc nhật ký.
Một nhược điểm của việc kiểm tra bằng chương trình này là dựa trên giả thuyết rằng khả năng phát hiện tấn công của IDS là giống nhau, bất kể hoạt động nền Đánh giá sử dụng traffic/logs thực là phương pháp hiệu quả để xác định tỷ lệ bắt đúng của IDS trong các điều kiện hoạt động nền cụ thể Phương pháp này được chấp nhận vì nó dựa trên các hoạt động nền thực tế, bao gồm cả các hành vi bất thường và tinh vi Hơn nữa, kỹ thuật này cho phép so sánh tỷ lệ bắt đúng của IDS ở các mức độ khác nhau.
Tuy nhiên, có một số mặt hạn chế để sử dụng kỹ thuật này:
Hiện nay, phần cứng gặp nhiều thách thức trong việc phát lại các gói dữ liệu mạng với tốc độ vượt quá 100 Mb/giây Đồng thời, việc song song hóa kết quả của quá trình này cũng đang gặp khó khăn trong các vấn đề sắp xếp trình tự gói tin.
Các thí nghiệm thường sử dụng một nhóm nhỏ máy tính nạn nhân được thiết lập đặc biệt để bị tấn công trong suốt thời gian thử nghiệm Một số hệ thống phát hiện xâm nhập (IDS) có khả năng nhận diện rằng chỉ một vài máy tính bị tấn công, từ đó làm tăng giả tạo hiệu suất đánh giá của chúng.
Các hoạt động nền trong hệ thống phát hiện xâm nhập (IDS) có thể bao gồm những bất thường trên mạng, mang lại lợi ích cho một số IDS hơn những IDS khác Điều này xảy ra khi một mạng thử nghiệm sử dụng một giao thức cụ thể, mà một IDS nhất định thực hiện sâu hơn Kết quả là, IDS xử lý giao thức chính có thể bỏ lỡ các cuộc tấn công mà nó có khả năng phát hiện.
Giải pháp nghiên cứu đánh giá IDS
1.5.1 Chia sẻ bộ dữ liệu
Hiện nay, nhu cầu về bộ dữ liệu đánh giá Hệ thống phát hiện xâm nhập (IDS) đang gia tăng, đòi hỏi sự chia sẻ cởi mở giữa các tổ chức Các nhà nghiên cứu thường xuyên sử dụng bộ dữ liệu này, nhưng nếu không có sự chia sẻ, họ sẽ phải tiêu tốn nhiều tài nguyên để tạo ra bộ dữ liệu độc quyền hoặc chỉ có thể sử dụng những bộ dữ liệu đơn giản và hạn chế cho quá trình đánh giá của mình.
1.5.2 Về dấu vết tấn công Ở phần trước chúng tôi đã chỉ ra rằng việc thu thập một lượng lớn các kịch bản tấn công cho mục đích đánh giá là rất khó khăn và tốn kém Chúng ta có thể sử dụng một biện pháp thay thế là sử dụng dấu vết tấn công thay vì dùng tới cuộc tấn công thực sự
Dấu vết tấn công là các tập tin log ghi lại chi tiết về một cuộc tấn công mạng, bao gồm các gói tin mạng và hệ thống file liên quan Việc phát lại các dấu vết này là cần thiết để đánh giá hiệu quả của hệ thống phát hiện xâm nhập (IDS), đồng thời cũng giúp hiểu rõ hơn về những lợi ích và hạn chế của chúng Có nhu cầu cao về bộ dấu vết tấn công để nâng cao bảo mật cho cộng đồng mạng, và thông tin này có thể được tích hợp vào cơ sở dữ liệu hiện có Kết quả là, cơ sở dữ liệu chứa dấu vết tấn công sẽ hỗ trợ các nhà nghiên cứu trong việc đánh giá IDS và cung cấp dữ liệu quý giá cho các nhà phát triển IDS.
1.5.3 Dọn dẹp dữ liệu thực
Dữ liệu thực tế thường gặp khó khăn trong việc phân phối do vấn đề về quyền riêng tư và nhạy cảm Phương pháp này giúp loại bỏ các thông tin bí mật trong lưu lượng truy cập nền, đồng thời giữ lại các đặc điểm cần thiết để sử dụng dữ liệu trong đánh giá hệ thống phát hiện xâm nhập (IDS) Sự phát triển này sẽ giảm bớt nhu cầu về việc bảo vệ dữ liệu.
25 | P a g e các nhà nghiên cứu trong việc dành nhiều công sức tạo ra các môi trường mô phỏng với chi phí cao
1.5.4 Bộ dữ liệu báo động cảm biến
Một số hệ thống xâm nhập tương quan không dựa vào dữ liệu thô như mạng hoặc dữ liệu kiểm toán Thay vào đó, cần phát triển các hệ thống có khả năng tạo ra các tập tin log cảnh báo thực tế cho hệ thống đánh giá tương quan Giải pháp khả thi là triển khai các cảm biến thực tế và cải thiện dòng cảnh báo bằng cách thay thế địa chỉ IP.
1.5.5 Sử dụng công nghệ mới
Công nghệ phát triển mới trong IDS bao gồm công nghệ “ meta-IDS” ; “IDS appliances” ; và công nghệ “Application-layer”
• Công nghệ “ meta-IDS” cố gắng giảm bớt gánh nặng về quản lý dữ liệu nhà cung cấp phải vượt qua
• “IDS appliances” hứa sẽ tăng khả năng quản lý từ xa mạnh mẽ hơn
• Công nghệ “Application-layer” sẽlọc lưu lượng tấn công tiềm năng để scanner trên phân đoạn mạng chuyên dụng.
Các hướng phát triển mới hiện nay tập trung vào việc ứng dụng công nghệ tiên tiến cho doanh nghiệp và nhà cung cấp dịch vụ Nghiên cứu đang được tiến hành để giải quyết các vấn đề như dương tính giả, tắc nghẽn lưu lượng truyền và các cuộc tấn công nghiêm trọng từ những cảnh báo phiền phức.
KHÁI QUÁT VỀ FTESTER
Gi ớ i thi ệ u Ftester
Ftester là công cụ kiểm tra firewall và IDS, bao gồm hai script Perl là ftest và ftestd Ftest đọc file cấu hình và gửi gói tin chứa mã độc, trong khi ftestd hoạt động như một sniffer sau firewall Bằng cách so sánh gói tin gửi đi và nhận được, ta có thể đánh giá hiệu suất của firewall Ftest và ftestd có thể kết hợp để tạo ra traffic stateful, giúp kiểm tra các IDS và firewall stateful.
Thành phần
Ftester gồm hai script Perl
Script ftest được sử dụng để tích hợp vào các gói tùy ý theo định nghĩa trong file cấu hình ftest.conf Để kiểm tra hoạt động của firewall với lưu lượng vào, bạn nên chạy script này từ một máy tính bên ngoài mạng của firewall Ngược lại, nếu bạn muốn kiểm tra hoạt động của firewall đối với lưu lượng ra, cần chạy ftest từ một máy tính nằm trong mạng được bảo vệ bởi firewall của bạn.
Một loại script khác là ftestd, được sử dụng để theo dõi các gói tin đi qua firewall mà bạn đang kiểm tra Để kiểm tra hành vi vào của firewall, bạn nên chạy script này trên một máy trong mạng nội bộ Ngược lại, nếu bạn muốn kiểm tra hành vi ra, cần chạy nó trên một máy bên ngoài mạng Cả hai script này đều ghi lại thông tin về các gói tin gửi và nhận Sau khi thực hiện thử nghiệm, bạn có thể so sánh các log tương ứng bằng script freport để nhanh chóng xác định các gói tin đã vượt qua firewall.
Ho ạt độ ng
Trước khi sử dụng Fteser, bạn cần cài đặt một số Môđun Perl cần thiết, bao gồm RawIP, Pcap, PcapUtils và Netpacket Nếu bạn đã có Môđun Perl CPAN, bạn có thể dễ dàng cài đặt chúng bằng các lệnh phù hợp.
#perl -MCPAN -e "install Net::RawIP"
#perl -MCPAN -e "install Net::PcapUtils"
#perl -MCPAN -e "install Net::Netpacket"
Khi đã chuẩn bịđồ nghề xong thì bạn cần tạo 1 file cấu hình để cho ftest biết các gói nào mà nó sẽ nhận
The general format for a TCP or UDP packet in the ftest.conf file includes the source address and source port, which represent the originating IP address and port, as well as the destination address and destination port, indicating the target IP address and port.
The code format includes source address, source port, destination address, destination port, flags, protocol, and Type-of-Service (ToS) Address ranges can be specified in low-high format or using CIDR notation The flags field allows you to set TCP flags such as SYN, ACK, PSH, URG, RST, and FIN The protocol field indicates whether TCP or UDP should be used, while the ToS field contains a value for the Type-of-Service in the IP header, which routers may use to prioritize traffic.
Bạn cũng có thể định nghĩa các gói ICMP theo một cách tương tự Sau đây là dạng chung cho 1 gói ICMP:
Địa chỉ nguồn và địa chỉ đích trong ICMP có cấu trúc là: source addr.:dest addr.::ICMP:type:code Mặc dù có vẻ phức tạp, nhưng khi xem xét kỹ, bạn sẽ nhận ra rằng sự khác biệt chính giữa hai dạng này là việc loại bỏ số cổng và cờ không được ICMP sử dụng.
ICMP có hơn 40 loại khác nhau, trong đó các loại này được sử dụng bởi tiện ích ping Mỗi loại ICMP kết hợp với các trường type và code, giúp xác định chức năng cụ thể của gói tin.
ICMP bao gồm các loại mã như 8 (echo), 0 (phản hồi dội) và 30 (traceroute) Các mã ICMP thực chất là những tập con của ICMP, và không phải tất cả các loại ICMP đều có mã đi kèm, mặc dù số lượng mã ICMP gần như tương đương với số loại ICMP.
Còn đây là phần chính muốn nói Đây là một ftest.conf kiểm tra tất cả cổng TCP có đặc quyền trên một máy tính có địa chỉ IP 10.1.1.1
Để tạo một payload cho gói tin nhằm thông báo cho ftestd rằng quá trình kiểm tra đã kết thúc, bạn có thể sử dụng cú pháp sau: 192.168.1.10:1025:10.1.1.1.1-1024:S:TCP:0 stop=signal Để thực hiện kiểm tra nhanh, hãy sử dụng tùy chọn -c và xác định gói tin cần gửi Ví dụ, lệnh dưới đây sẽ gửi một gói tin từ địa chỉ IP 192.168.1.10:1025 đến cổng 22 trên địa chỉ 10.1.1.1.
#./ftest -c 192.168.1.10:1025:10.1.1.1:22:S:TCP:0 Trước khi khởi động ftest bạn nên khởi động ftestd:
#./ftestd -i eth0 sau đó chạy ftest Code:
Lệnh này tạo ra một file log có tên ftest.log, ghi lại thông tin về một gói mà ftest gửi đi Khi ftestd nhận tín hiệu dừng, nó sẽ thoát và log về các gói mà nó nhận được sẽ được lưu trong file ftestd.log.
Bạn có thể sao chép các log sang máy tính khác và sử dụng freport để chạy chúng Nếu bạn đã áp dụng file cấu hình mà nhóm đã cung cấp và cho phép lưu lượng SSH, SMTP và HTTP, bạn sẽ nhận được một báo cáo tương tự như ví dụ dưới đây.
#./freport ftest.log ftestd.log
ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ
Ftester là công cụ hữu ích trong việc đánh giá hiệu quả của hệ thống phát hiện xâm nhập Để hiểu rõ hơn về ứng dụng của Ftester, mời cô và các bạn xem bản Demo chi tiết từ nhóm.