Professional Documents
Culture Documents
Lec 04
Lec 04
Nội dung
• Khái niệm cơ bản về IDPS
• Các kiến trúc IDPS
• Cơ sở lý thuyết về phát hiện tấn công
• Các phương pháp phát hiện tấn công
2
1
2
1. KHÁI NIỆM CƠ BẢN
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
4
2
4
Hệ thống IDPS
• Intrusion Detection and Preventation System: hệ thống có
khả năng theo dõi, giám sát, phát hiện và ngăn chặn các
hành vi tấn công, khai thác trái phép tài nguyên được bảo
vệ
• Yêu cầu:
Tính chính xác
Tính kịp thời
Khả năng tự bảo vệ
• IDPS vs tường lửa:
Tường lửa: xử lý từng gói tin trên lưu lượng mạng
IDPS: có khả năng theo dõi, giám sát chuỗi các gói tin, hành vi để
xác định có phải là hành vi tấn công hay xâm nhập hay không
Các thiết bị tường lửa thế hệ mới thường trang bị tính năng IDPS
2. GET /amazeme.exe?profile=xxx
Internet
FooCorp
FooCorp’s Servers
border router
3. GET /amazeme.exe?profile=xxx
8. 200 OK
Output of bin/amazeme
Internet
FooCorp
FooCorp’s Servers
border router
7. 200 OK
Output of bin/amazeme
10
5
10
Làm thế nào để phát hiện?
• Giải pháp 1: Triển khai một hệ thống phát hiện tấn công
dạng NIDS (Network-based IDS)
Giám sát tất cả các thông điệp HTTP Request
Phát hiện tấn công nếu các yêu cầu chứa “/etc/passwd” và/hoặc
“../../”
• Ưu điểm?
• Hạn chế?
11
11
8. 200 OK
Output of bin/amazeme
Internet
Monitor sees a copy
FooCorp
FooCorp’s of incoming/outgoing Servers
HTTP traffic
border router
bin/amazeme -p xxx
12
6
12
Làm thế nào để phát hiện?
• Giải pháp 2: sử dụng HIDS (Host-based IDS)
Kiểm tra giá trị truyền cho đối số
Phát hiện tấn công nếu đối số chứa “/etc/passwd” và/hoặc “../../”
• Ưu điểm?
• Hạn chế?
13
13
Internet
FooCorp
FooCorp’s Servers
border router
14
7
14
Làm thế nào để phát hiện?
• Giải pháp 3: quét, phân tích định kỳ file nhật ký (log file)
của hệ thống
Ưu điểm
Nhược điểm
• Giải pháp 4: giám sát các lời gọi hệ thống từ web server
Ưu điểm
Nhược điểm
15
15
16
8
16
Cấu trúc chung của IDPS (tiếp)
• Bộ cảm biến (Sensor): thu thập dữ liệu từ hệ thống
được giám sát.
• Bộ phát hiện : Thành phần này phân tích và tổng hợp
thông tin từ dữ liệu thu được của bộ cảm biến dựa trên
cơ sở tri thức của hệ thống
• Bộ lưu trữ : Lưu trữ tất cả dữ liệu của hệ thống IDS, bao
gồm: dữ liệu của bộ cảm biến, dữ liệu phân tích của bộ
phát hiện, cơ sở tri thức, cấu hình hệ thống … nhằm phục
vụ quá trình hoạt động của hệ thống IDS.
• Bộ phản ứng : Thực hiện phản ứng lại với những hành
động phát hiện được.
• Giao diện người dùng
17
17
18
9
18
Các bước thực hiện của IDPS
• Bước 2: Thu thập thông tin từ sensor
19
19
20
10
20
Các bước thực hiện của IDPS
• Bước 4: Phản ứng ban đầu(chặn dừng, điều hướng, ghi
nhận…)
21
21
22
11
22
Các bước thực hiện của IDPS
• Bước 6: Phản ứng toàn diện với tấn công
23
23
24
12
24
2. CÁC KIẾN TRÚC CỦA IDPS
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
25
25
26
13
26
Network-based IDPS (NIDPS)
• Chức năng: Thu thập và giám sát lưu lượng mạng dựa
trên việc triển khai sensor tại nhiều điểm khác nhau trong
mạng
Sensor có thể là các thiết bị có khả năng phân tích, tổng hợp và
thống kê thông tin lưu lượng
Sensor phần mềm cài đặt trên một số nút mạng nhất định
• Các loại sensor sử dụng cho NIDPS:
Sensor nội tuyến(Inline sensor): đặt tại các vị trí mà lưu lượng
mạng bắt buộc phải đi qua
Sensor thụ động (Passive sensor): có thể sao chép lưu lượng
mạng không bắt buộc lưu lượng mạng phải đi qua
27
27
28
14
28
Bố trí NIDPS sensor trên mạng
Sensor trên phân vùng
Sensor sau firewall, trong DMZ nhạy cảm:
cho phép phát hiện tấn công: - Phát hiện tấn công tới
- Xuất phát từ bên ngoài các nút mạng quan trọng
- Tới các nút mạng trong DMZ - Tập trung bảo vệ những
- Xuất phát từ trong DMZ tài nguyên quan trọng nhất
khi chi phí bị hạn chế
Sensor trên phân vùng
backbone:
- Phát hiện tấn công ngay tại các
phân vùng bên trong
- Phát hiện các hành vi vượt
quyền truy cập của người dùng
29
29
30
15
30
Thu thập thông tin cho NIDPS
Từ giao thức SNMP
• Simple Network Management Protocol
• Cung cấp thông tin thống kê về lưu lượng mạng:
Theo cổng giao tiếp
Theo giao thức
• Đặc điểm:
SNMP đã được cài đặt sẵn trên các thiết bị mạng sensor thu
thập thông qua lời gọi các thủ tục SNMP
Thông tin đã được thống kê và chuẩn hóa giảm chi phí tính toán
cho NIDPS
31
31
32
16
32
Các đặc trưng lưu lượng mạng
• Thông tin phần tiêu đề trong các gói tin
33
33
35
37
NIDPS
• Ưu điểm:
Kiểm soát được toàn bộ hoặc phần lớn hệ thống mạng với yêu cầu
số lượng ít các sensor cần triển khai
Trong hầu hết các trường hợp, NIDPS sensor hoạt động ở chế độ
thụ động ít gây ảnh hưởng tới hoạt động của mạng
Khó bị phát hiện bởi kẻ tấn công, chịu lỗi tốt
• Nhược điểm:
Lượng thông tin phải xử lý lớn
Không phân tích được các thông tin được mã mật
Tính chính xác thấp
38
19
38
Vượt qua kiểm soát của NIDPS
• Giải sử IDPS được cấu hình để xác định lưu lượng chứa
từ khóa ‘attack’ là lưu lượng tấn công
• Phương pháp: quét nội dung từng gói tin chứa từ khóa
Thuật toán: Boyer-Moore, bộ lọc Bloom…
…..…attack………………………….
• Tuy nhiên…
TCP truyền theo byte-stream, biên của dữ liệu không xác định
Phân mảnh gói tin IP
Lưu lượng tấn công được phân chia vào nhiều gói tin
…………..…at tack……………..
39
39
A T T A I C K
NIDS
Internet Target
A T T A I C K A T T A I C K
41
41
43
43
44
22
44
Triển khai HIDPS
45
45
Sensor Server
46
23
46
Tính năng của HIDPS
• Quét, rà soát, giám sát lưu lượng tới và đi
• Phát hiện các hành vi tấn công đã biết
• Lập hồ sơ các đối tượng tương tác với nút mạng
• Tạo môi trường thực thi sandbox
• Quét rà soát hệ thống file
• Quét rà soát bộ nhớ chính
• Phân tích các hoạt động, hành vi của tiến trình
47
47
HIDPS
• Ưu điểm:
Phân tích được các hành vi ngay trên mục tiêu khó bị các kỹ
thuật tấn công “qua mặt”
Kiểm soát toàn diện lưu lượng đến và đi
Chống lại các nguy cơ tấn công từ bên trong nút mạng(malware)
Thông tin phong phú từ log
• Hạn chế
Số lượng sensor tăng theo số lượng các nút cần giám sát
Có thể xuất hiện các lỗ hổng bảo mật từ chính HIDPS tăng nguy
cơ cho nút mạng
Khả năng tương tác với các HIDPS khác là hạn chế
Có thể làm giảm hiệu năng hoạt động của nút mạng
48
24
48
2.3. KIẾN TRÚC LAI
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
49
49
50
25
50
Kiến trúc lai – Hybrid IDPS
Kiến trúc phân tán hoàn
toàn:
• Triển khai mỗi IDPS cho
một phân vùng mạng
• Phát hiện và phản ứng
nhanh chóng với các tấn
công xảy ra trong từng
phân vùng
• Hạn chế:
Khó kiểm soát tấn công xảy
ra trên diện rộng do không
có tương tác giữa các IDPS
Chi phí cao
51
51
52
26
52
3. CƠ SỞ LÝ THUYẾT VỀ PHÁT
HIỆN XÂM NHẬP
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
53
53
55
55
56
28
56
Xác suất phát hiện
• Xác suất cảnh báo đúng
Pr(A ∩ I)
Pr I A =
Pr(A)
• Xác suất phát hiện nhầm: FPR = Pr( |¬ )
• Tính xác suất cảnh báo đúng và FPR cho các ví dụ trước
• Tính FPR cho IDPS sau:
void my_detector_that_never_mistakes(char *URL)
{
printf(“nope, not an attack!\n”);
}
57
57
58
29
58
Xác suất phát hiện
Pr(I) × Pr(A|I)
Pr I A =
Pr I × Pr A I + Pr(¬I) × Pr(A|¬I)
Ví dụ
Pr = 2 × 10
Với hệ thống có
Pr(A|I) = 1, nếu FPR
≈ 10-5 thì Pr(I|A) ≈
66% Tỉ lệ cảnh báo đúng
Nếu Pr(A|I) = 0.7 thì
Pr(I|A) ≈ 58%
rất thấp nếu hệ
thống ít bị tấn công
59
59
60
30
60
Độ chính xác của IDPS
61
61
62
31
62
VD: Lựa chọn độ chính xác của IDPS
• Giả sử một công ty trang bị hệ thống IDPS để phát hiện
các hành vi tấn công vào hệ thống mạng
• Trung bình, hệ thống hiện tại cảnh báo nhầm 20 truy cập
trong mỗi tháng, và không phát hiện được 1 tấn công
trong mỗi 6 tháng
• Mỗi lần hệ thống bị tấn công, đội ngũ kỹ thuật cần 4 giờ
để khôi phục hoạt động nếu mục tiêu là các máy trạm
thông thường và 10 giờ nếu mục tiêu là các máy chủ
(chiếm 0.5% số nút mạng)
• Để giải quyết 1 cảnh báo nhầm, cần 0.25 giờ đồng hồ
63
63
64
32
64
4. CÁC PHƯƠNG PHÁP PHÁT HIỆN
TẤN CÔNG
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
65
65
• Nguồn thông tin tham khảo đặc trưng của các dạng tấn công:
http://www.securityfocus.com/bid
66
33
66
Phát hiện dựa trên dấu hiệu
• Ưu điểm:
Triển khai đơn giản
Có thể chia sẻ CSDL về dấu hiệu của các dạng tấn công
Xác suất phát hiện nhầm thấp
• Hạn chế:
Chỉ phát hiện được các kỹ thuật tấn công đã biết
Cần cập nhật CSDL thường xuyên kích thước CSDL tăng
giảm hiệu năng
Dấu hiệu xác định dựa trên cú pháp, thay vì dựa trên ngữ nghĩa
có thể bị vượt qua(bypass)
67
67
68
34
68
Phát hiện dựa trên bất thường
• Anomaly-based detection
• Ý tưởng: Khi tấn công xảy ra, hệ thống xuất hiện những
đặc điểm khác thường
• Thực hiện:
Xây dựng mô hình các hành vi, trạng thái khi hệ thống hoạt động
bình thường
Phát hiện và đo lường các hành vi, trạng thái nằm ngoài mô hình
• Ưu điểm: có thể phát hiện được các dạng tấn công chưa
biết
69
69
• Hạn chế:
Độ chính xác thấp: tỉ lệ FPR, FNR phụ thuộc vào giá trị ngưỡng
70
35
70
Phát hiện dựa trên bất thường
Phát hiện dựa trên hành vi(Behavioral-based)
• Giám sát chuỗi các hành vi, hoạt động trên hệ thống
• Ví dụ:
Xác định chuỗi các lời gọi hệ thống phát sinh việc thực thi chương
trình: read(), open(), write(), fork(), exec()…
Chuỗi các truy vấn SQL được thực hiện
• Ưu điểm: Độ chính xác cao
• Hạn chế:
Khó xây dựng mô hình, có thể gây bùng nổ tổ hợp với các hệ
thống phức tạp
Có ít khả năng ngăn chặn
71
71
72
36
72
Các kỹ thuật xây dựng mô hình phát hiện
dựa trên bất thường
• Học không giám sát:
B1: Thu thập tập huấn luyện, trong đó dữ liệu chưa được gán nhãn
B2: Sử dụng các thuật toán phân lớp để học tập dữ liệu. Các thuật
toán điển hình: SOM, K-means, HAC…
B3: Sử dụng tập kiểm tra, trong đó dữ liệu đã được gán nhãn để
đánh giá tính đúng đắn của B2.
B4: Hiệu chỉnh thuật toán và lặp lại bước 2
• Học bán giám sát: sử dụng tập huấn luyện gồm cả dữ liệu
được gán nhãn và không được gán nhãn
Thuật toán: Expectation Maximization, Transductive SVM
• Chi tiết:
Mr. Trần Quang Đức: ductq@soict.hust.edu.vn
Mr. Trần Hải Anh: anhth@soict.hust.edu.vn
73
73
37