Intrusion detection( phát hiện xâm nhập)

Intrusion detection( phát hiện xâm nhập)

Rate this post

Không thể tránh khỏi, hệ thống ngăn chặn xâm nhập tốt nhất sẽ thất bại. Tuyến phòng thủ thứ hai của hệ thống là phát hiện xâm nhập và đây là trọng tâm của nhiều nghiên cứu trong những năm gần đây. Sự quan tâm này được thúc đẩy bởi một số cân nhắc, bao gồm những điều sau:

  1. Nếu một sự xâm nhập được phát hiện đủ nhanh, kẻ xâm nhập có thể được xác định và đẩy ra khỏi hệ thống trước khi bất kỳ thiệt hại nào được thực hiện hoặc bất kỳ dữ liệu nào được thu thập. Ngay cả khi việc phát hiện không đủ kịp thời để ngăn chặn kẻ xâm nhập, thì sự xâm nhập được phát hiện càng sớm, lượng thiệt hại càng ít và khả năng phục hồi càng nhanh chóng.
  2. Một hệ thống phát hiện xâm nhập hiệu quả có thể đóng vai trò như một biện pháp ngăn chặn, vì vậy sẽ hành động trước các hành động xâm nhập.
  3. Phát hiện xâm nhập cho phép thu thập thông tin về các công nghệ xâm nhập có thể được sử dụng để củng cố cơ sở ngăn chặn xâm nhập.

Việc phát hiện xâm nhập dựa trên giả định rằng hành vi của kẻ xâm nhập khác với hành vi của người dùng hợp pháp theo những cách có thể định lượng được. Tất nhiên, chúng ta không thể mong đợi rằng sẽ có sự phân biệt rõ ràng, chính xác giữatấn công bởi kẻ xâm nhập và việc sử dụng tài nguyên bình thường của người dùng được ủy quyền. Thay vào đó, chúng ta phải mong đợi rằng sẽ có một số chồng chéo.

Các bài viết liên quan:

Hình dưới gợi ý, theo những thuật ngữ rất trừu tượng, bản chất của nhiệm vụ đối đầu với người thiết kế một hệ thống phát hiện xâm nhập. Mặc dù hành vi điển hình của một

Intrusion detection( phát hiện xâm nhập)

Hồ sơ về hành vi của những kẻ xâm nhập và người dùng được ủy quyền

kẻ xâm nhập khác với hành vi điển hình của người dùng được ủy quyền, có sự chồng chéo trong những hành vi này. Do đó, việc giải thích lỏng lẻo về hành vi của kẻ xâm nhập, sẽ bắt được nhiều kẻ xâm nhập hơn, cũng sẽ dẫn đến một số “kết quả dương tính giả” hoặc người dùng được ủy quyền được xác định là kẻ xâm nhập. Mặt khác, nỗ lực hạn chế dương tính giả bằng cách giải thích chặt chẽ hành vi của kẻ xâm nhập sẽ dẫn đến sự gia tăng âm tính giả, hoặc những kẻ xâm nhập không được xác định là kẻ xâm nhập. Do đó, có một yếu tố thỏa hiệp và nghệ thuật trong thực hành phát hiện xâm nhập.

Cách xác định Intrusion detection

Trong nghiên cứu của Anderson [ANDE80], người ta đã công nhận rằng người ta có thể, với sự tự tin có thể có, phân biệt giữa kẻ giả mạo và người dùng hợp pháp. Hoa vănhành vi của người dùng hợp pháp có thể được thiết lập bằng cách quan sát lịch sử trong quá khứ, và có thể phát hiện ra sự sai lệch đáng kể so với các mẫu như vậy. Anderson gợi ý rằng nhiệm vụ phát hiện kẻ phạm tội (người dùng hợp pháp thực hiện theo cách trái phép) khó hơn, trong đó sự phân biệt giữa hành vi bất thường và bình thường có thể rất nhỏ. Anderson kết luận rằng những vi phạm như vậy sẽ không thể bị phát hiện chỉ thông qua việc tìm kiếm hành vi bất thường. Tuy nhiên, hành vi sai trái có thể được phát hiện bởi định nghĩa thông minh về loại điều kiện cho thấy việc sử dụng trái phép. Cuối cùng, việc phát hiện người dùng bí mật được cho là nằm ngoài phạm vi của các kỹ thuật hoàn toàn tự động. Những quan sát này, được thực hiện vào năm 1980, vẫn đúng cho đến ngày nay.

[PORR92] Xác định các phương pháp phát hiện xâm nhập sau:

  1. Statistical anomaly detection: Liên quan đến việc thu thập dữ liệu liên quan đến hành vi của người dùng hợp pháp trong một khoảng thời gian. Sau đó, các bài kiểm tra thống kê được áp dụng cho hành vi được quan sát để xác định với mức độ tin cậy cao xem hành vi đó có phải là hành vi của người dùng hợp pháp hay không.
    1. Phát hiện ngưỡng: Cách tiếp cận này liên quan đến việc xác định các ngưỡng, tùy thuộc vào người dùng, cho tần suất xuất hiện của các sự kiện khác nhau.
    2. Hồ sơ dựa trên: Một hồ sơ của hoạt động của từng người dùng được phát triển và sử dụng để phát hiện những thay đổi trong hành vi của các tài khoản cá nhân.
  2. Rule-based detection:  Liên quan đến nỗ lực xác định một tập hợp các quy tắc có thể được sử dụng để quyết định rằng một hành vi nhất định là của một kẻ xâm nhập.
    1. Phát hiện bất thường: Các quy tắc được phát triển để phát hiện sự sai lệch so với các mẫu sử dụng trước đó.
    2. Thâm nhập nhận dạng: Một phương pháp tiếp cận hệ thống chuyên gia tìm kiếm hành vi đáng ngờ.

Tóm lại, các phương pháp thống kê cố gắng xác định hành vi bình thường hoặc được mong đợi, trong khi các phương pháp tiếp cận dựa trên quy tắc cố gắng xác định hành vi phù hợp.

Về mặt các loại kẻ tấn công được liệt kê trước đó, phát hiện bất thường thống kê có hiệu quả chống lại những kẻ giả mạo, những kẻ không có khả năng bắt chước các mô hình hành vi của các tài khoản mà họ thích hợp. Mặt khác, những kỹ thuật như vậy có thể không đối phó được với những kẻ thất bại. Đối với các cuộc tấn công như vậy, các phương pháp tiếp cận dựa trên quy tắc có thể nhận ra các sự kiện và trình tự, trong ngữ cảnh, cho thấy sự thâm nhập. Trong thực tế, một hệ thống có thể thể hiện sự kết hợp của cả hai cách tiếp cận để có hiệu quả chống lại một loạt các cuộc tấn công.

Audit Records 

Một công cụ cơ bản để phát hiện xâm nhập là hồ sơ kiểm toán. Một số bản ghi về hoạt động đang diễn ra của người dùng phải được duy trì làm đầu vào cho hệ thống phát hiện xâm nhập. Về cơ bản, hai kế hoạch được sử dụng:

  • Native audit records:Hầu như tất cả các hệ điều hành đa người dùng đều bao gồm phần mềm kế toán thu thập thông tin về hoạt động của người dùng. Ưu điểm của việc sử dụng thông tin này là không cần phần mềm thu thập bổ sung. Điểm bất lợi là hồ sơ đánh giá gốc có thể không chứa thông tin cần thiết hoặc có thể không chứa nó ở dạng thuận tiện.
  • Detection-specific audit records:Một phương tiện thu thập có thể được thực hiện để tạo hồ sơ đánh giá chỉ chứa thông tin được yêu cầu bởi hệ thống phát hiện xâm nhập. Một lợi thế của cách tiếp cận như vậy là nó có thể được làm cho nhà cung cấp độc lập và được chuyển sang nhiều hệ thống khác nhau. Nhược điểm là chi phí phụ liên quan đến việc thực hiện hai gói kế toán chạy trên một máy.

Một ví dụ điển hình về hồ sơ đánh giá phát hiện cụ thể là hồ sơ được phát triển bởi Dorothy Denning [DENN87]. Mỗi hồ sơ kiểm tra chứa các trường sau:

  • Detection-specific audit records:: Người khởi xướng hành động. Chủ thể thường là người dùng đầu cuối nhưng có thểcũng là một quá trình hoạt động thay mặt cho người dùng hoặc nhóm người dùng. Mọi hoạt động phát sinh thông qua các mệnh lệnh do các chủ thể ban hành. Các chủ thể có thể được nhóm thành các lớp truy cập khác nhau và các lớp này có thể chồng chéo lên nhau.
  • Hành động: Hoạt động được thực hiện bởi chủ thể trên hoặc với một đối tượng; ví dụ: đăng nhập, đọc, perform I / O, hành hình.
  • Đối tượng: Người tiếp nhận hành động. Ví dụ bao gồm tệp, chương trình, tin nhắn, bản ghi, thiết bị đầu cuối, máy in và cấu trúc do người dùng hoặc chương trình tạo. Khi mộtchủ thể là người nhận một hành động, chẳng hạn như thư điện tử, thì chủ thể đó được coi là một đối tượng. Các đối tượng có thể được nhóm theo loại. Mức độ chi tiết của đối tượng có thể thay đổi theo loại đối tượng và theo môi trường. Ví dụ, các hành động cơ sở dữ liệu có thể được đánh giá cho toàn bộ cơ sở dữ liệu hoặc ở cấp bản ghi.
  • Điều kiện ngoại lệ: Biểu thị điều kiện ngoại lệ, nếu có, được trả lại.
  • Tài nguyên-Sử dụng: Một danh sách các phần tử định lượng, trong đó mỗi phần tử cho biết số lượng được sử dụng của một số tài nguyên (ví dụ: số dòng được in hoặc hiển thị, số trong số các bản ghi được đọc hoặc ghi, thời gian của bộ xử lý, các đơn vị I / O được sử dụng, thời gian đã trôi qua của phiên).
  • Dấu thời gian: Dấu ngày và giờ duy nhất xác định thời điểm hành động diễn ra.

Hầu hết các hoạt động của người dùng được tạo thành từ một số hành động cơ bản. Ví dụ: một bản sao tệp liên quan đến việc thực thi lệnh người dùng, bao gồmthực hiện xác thực quyền truy cập và thiết lập bản sao, cộng với đọc từ một tệp, cộng với ghi vào tệp khác. Xem xét lệnh

copy GAME.EXE TO <Libray> GAME.EXE do người dùng phát hành để sao chép một tệp thực thi GAME từ thư mục hiện tại vào

Thư mục <Library>. Các hồ sơ đánh giá sau có thể được tạo:

smithexecute<Library> COPY.EXE0CPU = 0000211058721678
smithread<Smith> GAME.EXE0record = 011058721679
smithexecute<Library> COPY.EXEWrite-violrecord = 011058721680

Trong trường hợp này, bản sao bị hủy bỏ vì Smith không có quyền viết:

Việc phân tách hoạt động của người dùng thành các hành động cơ bản có ba lợi thế:

  1. Bởi vì các đối tượng là các thực thể có thể bảo vệ trong một hệ thống, việc sử dụng các hành động cơ bản cho phép kiểm tra tất cả các hành vi ảnh hưởng đến một đối tượng. Do đó, hệ thống có thể phát hiện nỗ lực lật đổ các kiểm soát truy cập (bằng cách ghi nhận sự bất thường về số lượng các điều kiện ngoại lệ được trả về) và có thể phát hiện các cuộc lật đổ thành công bằng cách ghi nhận sự bất thường trong tập hợp các đối tượng mà đối tượng có thể truy cập.
  2. Hồ sơ đánh giá một đối tượng, một hành động đơn giản hóa mô hình và việc thực hiện.
  3. Do cấu trúc đơn giản, thống nhất của hồ sơ đánh giá cụ thể cho phát hiện, có thể tương đối dễ dàng để có được thông tin này hoặc ít nhất là một phần của nó bằng cách ánh xạ đơn giản từ hồ sơ đánh giá gốc hiện có sang hồ sơ đánh giá cụ thể cho phát hiện.

Statistical Anomaly Detection 

Như đã đề cập, các kỹ thuật phát hiện bất thường thống kê chia thành hai loại lớn: phát hiện ngưỡng và hệ thống dựa trên hồ sơ. Phát hiện ngưỡng bao gồm việc đếm số lần xuất hiện của một loại sự kiện cụ thể trong một khoảng thời gian. Nếu số lượng vượt quá những gì được coi là một số hợp lý mà người ta có thể mong đợi xảy ra, thì sự xâm nhập được giả định.

Bản thân phân tích ngưỡng là một công cụ phát hiện thô thiển và không hiệu quả đối với các cuộc tấn công thậm chí hiện đại vô cùng tinh vi. Cả ngưỡng và khoảng thời gian đều phải được xác định. Do sự thay đổi giữa những người dùng, các ngưỡng như vậy có khả năng tạo ra nhiều kết quả dương tính giả hoặc nhiều âm tính giả. Tuy nhiên, các bộ dò ngưỡng đơn giản có thể hữu ích khi kết hợp với các kỹ thuật phức tạp hơn.

Intrusion detection( phát hiện xâm nhập)

Tính năng phát hiện bất thường dựa trên hồ sơ tập trung vào việc mô tả đặc điểm hành vi trước đây của người dùng cá nhân hoặc nhóm người dùng có liên quan và sau đó phát hiện những sai sót đáng kể- hàng tấn. Một cấu hình có thể bao gồm một tập hợp các thông số, do đó độ lệch chỉ trên một thông số duy nhất có thể không đủ để phát tín hiệu cảnh báo.

Nền tảng của phương pháp này là phân tích hồ sơ kiểm toán. Hồ sơ đánh giá cung cấp đầu vào cho chức năng phát hiện xâm nhập theo hai cách. Đầu tiên, nhà thiết kế phải quyết định một số chỉ số định lượng có thể được sử dụng để điều chỉnhhành vi người dùng chắc chắn. Việc phân tích hồ sơ kiểm toán trong một khoảng thời gian có thể được sử dụng để xác định hồ sơ hoạt động của người dùng bình thường. Do đó, hồ sơ kiểm toán phục vụ cho việc xác định các hành vi điển hình. Thứ hai, hồ sơ kiểm toán hiện tại là đầu vào được sử dụng để phát hiện sự xâm nhập. Nghĩa là, mô hình phát hiện xâm nhập phân tích hồ sơ kiểm toán đến để xác định độ lệch so với hành vi trung bình.

Ví dụ về các số liệu hữu ích cho việc phát hiện xâm nhập dựa trên cấu hình như sau:

  • Counter: Một số nguyên không âm có thể tăng lên nhưng không giảm cho đến khi nó được thiết lập lại bằng hành động quản lý. Thông thường, số lượng các loại sự kiện nhất định được lưu giữ trong một khoảng thời gian cụ thể. Các ví dụ bao gồm số lần đăng nhập của một người dùng trong một giờ, số lần một lệnh nhất định được thực thi trong một phiên người dùng và số lần chuyển từ thất bại trong một phút.
  • Gauge: Một số nguyên không âm có thể tăng hoặc giảm. Thông thường, một thước đo được sử dụng để đo giá trị hiện tại của một số thực thể. Ví dụ bao gồm số lượng kết nối logic được chỉ định cho một thiết bị người dùng và số lượng thư gửi đi được xếp hàng đợi cho một quy trình của người dùng.
  • Interval timer: Khoảng thời gian giữa hai sự kiện có liên quan. Một ví dụ là khoảng thời gian giữa các lần đăng nhập liên tiếp vào tài khoản.
  • Resource utilization: Số lượng tài nguyên được tiêu thụ trong một khoảng thời gian xác định. Các ví dụ bao gồm số lượng trang được in trong một phiên người dùng và tổng thời gian thực hiện chương trình.

Với các chỉ số chung này, các thử nghiệm khác nhau có thể được thực hiện để xác định xem hoạt động hiện tại có nằm trong giới hạn có thể chấp nhận được hay không. [DENN87] liệt kê các phương pháp sau có thể được thực hiện:

  • Mean and standard deviation 
  • Multivariate 
  • Markov process
  • Time series 
  • Operational  

Kiểm tra thống kê đơn giản nhất là đo lường giá trị trung bình và độ lệch chuẩn của một tham số trong một số giai đoạn lịch sử. Điều này cho thấy sự phản ánh của hành vi trung bình và sự thay đổi của nó. Việc sử dụng giá trị trung bình và độ lệch chuẩn có thể áp dụng cho nhiều loại bộ đếm, bộ định thời và các thước đo tài nguyên. Nhưng các biện pháp này, về bản chất, thường quá thô cho mục đích phát hiện xâm nhập.

Mô hình đa biến dựa trên mối tương quan giữa hai hoặc nhiều biến. Hành vi của kẻ xâm nhập có thể được đặc trưng với độ tin cậy cao hơn bằng cách xem xét các mối tương quan như vậy (ví dụ: thời gian xử lý và sử dụng tài nguyên, hoặc tần suất đăng nhập và thời gian đã trôi qua của phiên).

Mô hình quy trình Markov được sử dụng để thiết lập xác suất chuyển đổi giữa các trạng thái khác nhau. Ví dụ, mô hình này có thể được sử dụng để xem xét quá trình chuyển đổi giữa các lệnh nhất định.

Một chuỗi thời gian mô hình tập trung vào các khoảng thời gian, tìm kiếm chuỗi sự kiện điều đó xảy ra quá nhanh hoặc quá chậm. Một loạt các thử nghiệm thống kê có thể được áp dụng để xác định thời gian bất thường.

Cuối cùng, một mô hình hoạt động dựa trên đánh giá về những gì được coi là bất thường, thay vì phân tích tự động các hồ sơ kiểm toán trong quá khứ. Thông thường, các giới hạn cố định được xác định và sự xâm nhập được nghi ngờ đối với một quan sát nằm ngoài giới hạn. Cách tiếp cận này hoạt động hiệu quả nhất khi hành vi của kẻ xâm nhập có thể được suy ra từ một số loại hoạt động nhất định. Ví dụ: một số lượng lớn các nỗ lực đăng nhập trong một khoảng thời gian ngắn cho thấy một nỗ lực xâm nhập.

Là một ví dụ về việc sử dụng các số liệu và mô hình khác nhau này, Bảng 20.2 cho thấy các biện pháp khác nhau được xem xét hoặc thử nghiệm đối với hệ thống phát hiện xâm nhập của Viện Nghiên cứu Stanford (SRI) (IDES) [DENN87, JAVI91, LUNT88].

Ưu điểm chính của việc sử dụng các cấu hình thống kê là có kiến ​​thức trước về lỗi bảo mật là không bắt buộc. Chương trình máy dò tìm hiểu hành vi “bình thường” là gì và sau đó tìm kiếm các sai lệch. Cách tiếp cận không dựa trên các đặc điểm và lỗ hổng phụ thuộc vào hệ thống. Do đó, nó phải dễ dàng di động giữa nhiều hệ thống.

Rule-Based Intrusion Detection 

Các kỹ thuật dựa trên quy tắc phát hiện sự xâm nhập bằng cách quan sát các sự kiện trong hệ thống và áp dụng một bộ quy tắc dẫn đến quyết định về việc một dạng hoạt động nhất định có đáng ngờ hay không. Nói một cách khái quát, chúng ta có thể mô tả tất cả các phương pháp tiếp cận là tập trung vào phát hiện dị thường hoặc xác định thâm nhập, mặc dù có một số trùng lặp trong các cách tiếp cận này.

Rule-based anomaly detection  dựa trên quy tắc tương tự về cách tiếp cận và điểm mạnh của phát hiện bất thường thống kê. Với cách tiếp cận dựa trên quy tắc, hồ sơ đánh giá lịch sử được phân tích để xác định các mẫu sử dụng và tự động tạo ra các quy tắc mô tả các mẫu đó. Các quy tắc có thể đại diện cho các mẫu hành vi trong quá khứ của người dùng, chương trình, đặc quyền, khoảng thời gian, thiết bị đầu cuối, v.v. Hành vi hiện tại sau đó làđược quan sát và mỗi giao dịch được so khớp với bộ quy tắc để xác định xem nó có tuân theo bất kỳ kiểu hành vi nào được quan sát trong lịch sử hay không.

Intrusion detection( phát hiện xâm nhập)

Như với phát hiện bất thường thống kê, phát hiện bất thường dựa trên quy tắc không yêu cầu kiến ​​thức về các lỗ hổng bảo mật trong hệ thống. Đúng hơn, kế hoạch dựa trên việc quan sát hành vi trong quá khứ và trên thực tế, giả định rằng tương lai sẽ giống như quá khứ. Để cách tiếp cận này có hiệu quả, một cơ sở dữ liệu khá lớn về

các quy tắc sẽ cần thiết. Ví dụ: một lược đồ được mô tả trong [VACC89] chứa bất kỳ- trong đó từ 104 đến 106 quy tắc.

Rule-based penetration identification  dựa trên quy tắc nhận dạng có một cách tiếp cận rất khác để phát hiện xâm nhập. Đặc điểm chính của các hệ thống này là việc sử dụng các quy tắc để xác định các điểm thâm nhập đã biết hoặc các điểm thâm nhập có thể khai thác các điểm yếu đã biết. Các quy tắc cũng có thể được định nghĩa để xác định hành vi đáng ngờ, ngay cả khi hành vi đótrong giới hạn của các mô hình sử dụng đã được thiết lập. Thông thường, các quy tắc được sử dụng trong các hệ thống này dành riêng cho máy và hệ điều hành. Cách tiếp cận hiệu quả nhất để phát triển các quy tắc như vậy là phân tích các công cụ và tập lệnh tấn công được thu thập trên Internet. Các quy tắc này có thể được bổ sung bằng các quy tắc do nhân viên an ninh có kiến ​​thức tạo ra. Trong trường hợp thứ hai này, thủ tục bình thường là phỏng vấn

Bảng 20.2 Các biện pháp có thể được sử dụng để phát hiện xâm nhập

Intrusion detection( phát hiện xâm nhập)

quản trị viên hệ thống và nhà phân tích bảo mật để thu thập một tập hợp các kịch bản thâm nhập đã biết và các sự kiện chính đe dọa an ninh của hệ thống mục tiêu.

Một ví dụ đơn giản về loại quy tắc có thể được sử dụng được tìm thấy trong NIDX, một hệ thống ban đầu sử dụng các quy tắc heuristic có thể được sử dụng để gán mức độ nghi ngờ cho các hoạt động [BAUE88]. Các phương pháp heuristics ví dụ như sau:

  1. Người dùng không nên đọc các tệp trong thư mục cá nhân của người dùng khác.
  2. Người dùng không được ghi tệp của người dùng khác.
  1. Người dùng đăng nhập sau giờ làm việc thường truy cập vào cùng các tệp mà họ đã sử dụng trước đó.
  2. Người dùng thường không mở thiết bị đĩa trực tiếp mà dựa vào các tiện ích hệ thống vận hành cấp cao hơn.
  3. Người dùng không nên đăng nhập nhiều hơn một lần vào cùng một hệ thống.
  4. Người dùng không tạo bản sao của các chương trình hệ thống.

Sơ đồ xác định thâm nhập được sử dụng trong IDES là đại diện cho chiến lược được tuân theo. Hồ sơ đánh giá được kiểm tra khi chúng được tạo và chúngphù hợp với cơ sở quy tắc. Nếu một kết quả phù hợp được tìm thấy, thì xếp hạng nghi ngờ của người dùng sẽ tăng lên. Nếu đủ các quy tắc được khớp, thì xếp hạng sẽ vượt qua ngưỡng dẫn đến báo cáo về sự bất thường.

Phương pháp IDES dựa trên việc kiểm tra các hồ sơ đánh giá. Điểm yếu của kế hoạch này là thiếu tính linh hoạt. Đối với một tình huống thâm nhập nhất định, có thể có một số trình tự hồ sơ đánh giá thay thế có thể được tạo ra, mỗi trình tự khác nhau một chút hoặc theo những cách tinh tế. Có thể khó ghimgiảm tất cả các biến thể này trong các quy tắc rõ ràng. Một phương pháp khác là phát triển một mô hình cấp cao hơn độc lập với các hồ sơ kiểm toán cụ thể. Một ví dụ về điều này là một mô hình chuyển đổi trạng thái được gọi là USTAT [ILGU93]. USTAT đề cập đến các hành động chung thay vì các hành động cụ thể chi tiết được ghi lại bởi cơ chế đánh giá UNIX. USTAT được triển khai trên hệ thống SunOS cung cấp hồ sơ kiểm toán về 239 sự kiện. Trong số này, chỉ có 28 được sử dụng bởi bộ tiền xử lý, bộ xử lý ánh xạ chúng thành 10 hành động chung (Bảng 20.3). Chỉ sử dụng các hành động này và các tham số được gọi với mỗi hành động, một sơ đồ chuyển đổi trạng thái được phát triển để phân tích hoạt động đáng ngờ. Vì một số sự kiện có thể kiểm tra khác nhau ánh xạ thành một số lượng hành động nhỏ hơn, nên quy trình tạo quy tắc đơn giản hơn. Hơn nữa,

Bảng 20.3 Các hành động USTAT so với các loại sự kiện SunOS

Intrusion detection( phát hiện xâm nhập)

The Base-Rate Fallacy 

Để được sử dụng trong thực tế, hệ thống phát hiện xâm nhập phải phát hiện một tỷ lệ phần trăm đáng kể các vụ xâm nhập trong khi vẫn giữ tỷ lệ báo động giả ở mức có thể chấp nhận được. Nếu chỉ một tỷ lệ nhỏ các cuộc xâm nhập thực tế được phát hiện, hệ thống sẽ cung cấp cảm giác an toàn sai. Mặt khác, nếu hệ thống thường xuyên kích hoạt cảnh báo khi không có đột nhập (báo động giả), thì một trong hai người quản lý hệ thống sẽ bắt đầu bỏ qua các cảnh báo hoặc sẽ lãng phí nhiều thời gian để phân tích các cảnh báo giả.

Thật không may, vì bản chất của các xác suất liên quan, rất khó đáp ứng tiêu chuẩn về tỷ lệ phát hiện cao với tỷ lệ báo động sai thấp. Nói chung, nếu số lần xâm nhập thực tế thấp so với số lần sử dụng hợp pháp của một hệ thống, thì tỷ lệ báo động giả sẽ cao trừ khibài kiểm tra cực kỳ phân biệt đối xử. Một nghiên cứu về các hệ thống phát hiện xâm nhập hiện có, được báo cáo trong [AXEL00], chỉ ra rằng các hệ thống hiện tại đã không khắc phục được xác suất của lỗi ngụy biện tỷ lệ cơ bản. Xem Phụ lục 20A để biết cơ sở ngắn gọn về toán học của vấn đề này.

Distributed Intrusion Detection 

Cho đến gần đây, công việc về các hệ thống phát hiện xâm nhập tập trung vào các cơ sở độc lập của một hệ thống. Tuy nhiên, tổ chức điển hình cần bảo vệ một tập hợp phân tán các máy chủ được hỗ trợ bởi mạng LAN hoặc kết nối internet. Mặc dù có thể tăng cường khả năng phòng thủ bằng cách sử dụng các hệ thống phát hiện xâm nhập độc lập trên mỗi máy chủ, nhưng việc phòng thủ hiệu quả hơn có thể đạt được bằng cách phối hợp và hợp tác giữa các hệ thống phát hiện xâm nhập trên toàn mạng.

Porras chỉ ra các vấn đề chính sau đây trong việc thiết kế hệ thống phát hiện xâm nhập phân tán [PORR92]:

  • Hệ thống phát hiện xâm nhập phân tán có thể cần phải xử lý các định dạng hồ sơ kiểm toán khác nhau. Trong một môi trường không đồng nhất, các hệ thống khác nhau sẽ sử dụng các hệ thống thu thập đánh giá gốc khác nhau và nếu sử dụng phát hiện xâm nhập, có thể sử dụng các định dạng khác nhau cho hồ sơ đánh giá liên quan đến bảo mật.
  • Một hoặc nhiều nút trong mạng sẽ đóng vai trò là điểm thu thập và phân tích dữ liệu từ các hệ thống trên mạng. Do đó, dữ liệu kiểm toán thô hoặc dữ liệu tóm tắt phải được truyền qua mạng. Do đó, có một yêu cầu để đảm bảo tính toàn vẹn và bí mật của những dữ liệu này. Thanh Liêmđược yêu cầu để ngăn chặn kẻ xâm nhập che giấu các hoạt động của họ bằng cách thay đổi thông tin kiểm toán được truyền đi. Cần phải bảo mật vì thông tin kiểm toán được truyền đi có thể có giá trị.
  • Có thể sử dụng kiến ​​trúc tập trung hoặc phi tập trung. Với một trung tâm-kiến trúc ized, có một điểm trung tâm duy nhất để thu thập và phân tích tất cả dữ liệu kiểm toán. Điều này giúp giảm bớt nhiệm vụ tương quan với các báo cáo đến nhưng lại tạo ra một nút thắt cổ chai tiềm ẩn và một điểm thất bại duy nhất. Với một kho lưu trữ phi tập trung-Chắc chắn, có nhiều hơn một trung tâm phân tích, nhưng những trung tâm này phải điều phối các hoạt động của họ và trao đổi thông tin.
Intrusion detection( phát hiện xâm nhập)

Hình 20.2 Kiến trúc phát hiện xâm nhập phân tán

Một ví dụ điển hình về hệ thống phát hiện xâm nhập phân tán là hệ thống được phát triển tại Đại học California tại Davis [HEBE92, SNAP91]. Hình 20.2 cho thấy kiến ​​trúc tổng thể, bao gồm ba thành phần chính:

  • Host agent module:  Mô-đun thu thập đánh giá hoạt động như một quy trình nền trên hệ thống được giám sát. Mục đích của nó là thu thập dữ liệu về các sự kiện liên quan đến bảo mật trên máy chủ và truyền những sự kiện này đến người quản lý trung tâm.
  • LAN monitor agent module: Hoạt động giống như mô-đun tác nhân chủ, ngoại trừ việc nó phân tích lưu lượng mạng LAN và báo cáo kết quả cho người quản lý trung tâm.
  • Central manager module: Nhận các báo cáo từ giám sát mạng LAN và các đại lý máy chủ và xử lý và đối chiếu các báo cáo này để phát hiện sự xâm nhập.

Chương trình được thiết kế để độc lập với bất kỳ hệ điều hành nào hoặc việc thực hiện kiểm toán hệ thống. Hình 20.3 [SNAP91] cho thấy cách tiếp cận chung được thực hiện. Người đại diện nắm bắt từng hồ sơ đánh giá được tạo ra bởi bộ sưu tập đánh giá gốchệ thống. Một bộ lọc được áp dụng để chỉ giữ lại những bản ghi được quan tâm bảo mật. Những hồ sơ này sau đó được định dạng lại thành một định dạng chuẩn hóa được gọi là hồ sơ đánh giá máy chủ (HAR). Tiếp theo, mô-đun logic hướng mẫu phân tích các bản ghi để tìm hoạt động đáng ngờ. Ở cấp thấp nhất, tác nhân quét các sự kiện đáng chú ý được quan tâm độc lập với bất kỳ sự kiện nào trong quá khứ. Các ví dụ bao gồm truy cập tệp không thành công, truy cập tệp hệ thống và thay đổi kiểm soát truy cập của tệp. Ở cấp độ cao hơn tiếp theo, tác nhân tìm kiếm các chuỗi sự kiện, chẳng hạn như các mẫu tấn công đã biết (chữ ký). Cuối cùng, tác nhân tìm kiếm hành vi bất thường của một người dùng cá nhân dựa trên hồ sơ lịch sử của người dùng đó, chẳng hạn như số lượng chương trình được thực thi, số lượng tệp được truy cập và những thứ tương tự.

Intrusion detection( phát hiện xâm nhập)

Hình 20.3 Kiến trúc đặc vụ

Khi phát hiện hoạt động đáng ngờ, cảnh báo sẽ được gửi đến người quản lý trung tâm. Người quản lý trung tâm bao gồm một hệ thống chuyên gia có thể rút ra các suy luận từ dữ liệu nhận được. Người quản lý cũng có thể truy vấn các hệ thống riêng lẻ về các bản sao của HAR để tương quan với các bản sao của các tác nhân khác.

Tác nhân giám sát mạng LAN cũng cung cấp thông tin cho người quản lý trung tâm. Tác nhân giám sát mạng LAN kiểm tra các kết nối máy chủ – máy chủ lưu trữ, các dịch vụ được sử dụng và khối lượng truyền tảihư cấu. Nó tìm kiếm các sự kiện quan trọng, chẳng hạn như thay đổi đột ngột trong tải mạng, việc sử dụng các dịch vụ liên quan đến bảo mật và các hoạt động mạng như rlogin.

Kiến trúc được mô tả trong Hình 20.2 và 20.3 khá tổng quát và linh hoạt. Nó cung cấp nền tảng cho một phương pháp tiếp cận độc lập với máy có thể mở rộng từ phát hiện xâm nhập độc lập sang một hệ thống có thể tương quan hoạt động từ một số trang web và mạng để phát hiện hoạt động đáng ngờ mà nếu không sẽ không bị phát hiện.

Honeypots

Một cải tiến tương đối gần đây trong công nghệ phát hiện xâm nhập là honeypot. Honeypots là hệ thống mồi nhử được thiết kế để dụ kẻ tấn công tiềm năng tránh xa các hệ thống quan trọng. Honeypots được thiết kế để

  • chuyển hướng kẻ tấn công khỏi truy cập các hệ thống quan trọng
  • thu thập thông tin về hoạt động của kẻ tấn công
  • khuyến khích kẻ tấn công ở lại hệ thống đủ lâu để quản trị viên phản hồi

Các hệ thống này chứa đầy thông tin ngụy tạo được thiết kế để xuất hiện giá trị- có thể nhưng người dùng hợp pháp của hệ thống sẽ không truy cập. Do đó, bất kỳ quyền truy cập nào vào honeypot đều bị nghi ngờ. Hệ thống được trang bị với các màn hình nhạy cảm và trình ghi sự kiện phát hiện các truy cập này và thu thập thông tin về các hoạt động của kẻ tấn công. Bởi vì bất kỳ cuộc tấn công nào chống lại honeypot đều được thực hiện để có vẻ thành công, các quản trị viên có thời gian để huy động và ghi nhật ký và theo dõi kẻ tấn công mà không bao giờ để lộ hệ thống hoạt động hiệu quả.

Những nỗ lực ban đầu liên quan đến một máy tính honeypot duy nhất có địa chỉ IP được thiết kế để thu hút tin tặc. Nhiều nghiên cứu gần đây đã tập trung vào việc xây dựng toàn bộ mạng honeypot mô phỏng một doanh nghiệp, có thể với lưu lượng và dữ liệu thực tế hoặc mô phỏng. Khi tin tặc ở trong mạng, quản trị viên có thể quan sát hành vi của chúng một cách chi tiết và tìm ra biện pháp phòng thủ.

Intrusion Detection Exchange Format 

Để tạo điều kiện phát triển các hệ thống phát hiện xâm nhập phân tán có thể hoạt động trên nhiều nền tảng và môi trường, cần có các tiêu chuẩn để hỗ trợ khả năng tương tác. Các tiêu chuẩn như vậy là trọng tâm của Nhóm Công tác Phát hiện Xâm nhập IETF. Mục đích của nhóm làm việc là xác định dữ liệu cho các cơ sở dữ liệu và trao đổi các thủ tục để chia sẻ thông tin quan tâm đến các hệ thống phát hiện và phản ứng xâm nhập và các hệ thống quản lý có thể cần liên hành động với họ. Kết quả đầu ra của nhóm làm việc này bao gồm:

  1. Tài liệu yêu cầu, mô tả các yêu cầu chức năng cấp cao- ments để liên lạc giữa các hệ thống phát hiện xâm nhập và các yêu cầu liên lạc giữa các hệ thống phát hiện xâm nhập và với hệ thống quản lý, bao gồm cả cơ sở lý luận cho các yêu cầu đó. Các kịch bản sẽ được sử dụng để minh họa các yêu cầu.
  2. Đặc tả ngôn ngữ xâm nhập phổ biến, mô tả các định dạng dữ liệu đáp ứng các yêu cầu.
  3. Một tài liệu khung, xác định các giao thức hiện có được sử dụng tốt nhất để giao tiếp giữa các hệ thống phát hiện xâm nhập và mô tả cách các định dạng dữ liệu được thiết kế ra liên quan đến chúng.

Tính đến thời điểm viết bài này, tất cả các tài liệu này đều đang ở giai đoạn tài liệu nháp trên Internet.

Leave a Reply