Nghiên cứu một số kỹ thuật phát hiện xâm nhập mạng bằng phương pháp so khớp

Hệ thống phát hiện xâm nhập (IDS) là một hệ thống giám sát lưu lượng mạng để phát hiện các hiện tượng bất thường và hoạt động xâm nhập trái phép. Nó phân biệt các tấn công từ bên trong và bên ngoài. Mục tiêu chính của IDS là phát hiện và ngăn chặn sự xâm nhập, cũng như các hành vi khai thác trái phép, đảm bảo tính toàn vẹn và tính sẵn sàng của hệ thống. IDS thu thập thông tin từ nhiều nguồn và phân tích để phát hiện các xâm nhập trái phép.

Một hệ thống IDS hiệu quả cần đáp ứng các yêu cầu về tính chính xác, hiệu năng, tính trọn vẹn, khả năng chịu lỗi và khả năng mở rộng. Các tính năng chính bao gồm giám sát lưu lượng mạng, cảnh báo về tình trạng mạng cho quản trị viên, và kết hợp với các hệ thống giám sát tường lửa và virus để tạo thành một hệ thống bảo mật hoàn chỉnh. Tài liệu gốc nhấn mạnh: "Hệ thống IDS thu thập thông nhiều nguôn trong hệ thống được bảo vệ sau đồ hành phân những thông đồ theo các cách khác nhau đễ phát hiện những xâm nhập phép".

Các hệ thống IDS thường được phân loại dựa trên nguồn dữ liệu thu thập. Có hai loại chính: Host-based IDS (HIDS) và Network-based IDS (NIDS). HIDS sử dụng dữ liệu kiểm soát trên một máy trạm đơn lẻ để phát hiện xâm nhập. NIDS sử dụng dữ liệu từ toàn bộ lưu lượng mạng. NIDS bao gồm bộ cảm biến để kiểm soát lưu lượng mạng và trạm quản lý để nhận tín hiệu cảnh báo từ bộ cảm biến.

Bài toán so khớp mẫu là việc tìm kiếm sự xuất hiện của một mẫu (pattern) trong một chuỗi (text). Các bước xử lý cơ bản bao gồm tiền xử lý mẫu, tìm kiếm và so sánh. Độ phức tạp tính toán của thuật toán so khớp mẫu ảnh hưởng lớn đến hiệu suất của hệ thống IDS. Ứng dụng của so khớp mẫu rất đa dạng, bao gồm phát hiện xâm nhập, tìm kiếm văn bản và phân tích DNA.

Các thuật toán so khớp đơn mẫu bao gồm Brute Force, Knuth-Morris-Pratt (KMP), Boyer-Moore Horspool (BMH) và Karp-Rabin. Thuật toán KMP sử dụng thông tin về cấu trúc của mẫu để tránh so sánh lại các ký tự đã so sánh. Thuật toán BMH sử dụng heuristic để bỏ qua các phần của chuỗi. Thuật toán Karp-Rabin sử dụng hàm băm để so sánh mẫu và chuỗi.

Thuật toán Aho-Corasick (AC) là một thuật toán so khớp đa mẫu hiệu quả. Nó xây dựng một cây trạng thái để biểu diễn tất cả các mẫu. Khi duyệt chuỗi, thuật toán sẽ di chuyển trên cây trạng thái. Nếu gặp một trạng thái kết thúc, thuật toán sẽ báo cáo sự xuất hiện của mẫu tương ứng. Ưu điểm của thuật toán AC là có thể tìm kiếm nhiều mẫu cùng một lúc với độ phức tạp tuyến tính.

Thành phần thu thập thông tin có vai trò quan trọng trong việc cung cấp dữ liệu cho quá trình phân tích. Các nguồn thông tin quan trọng bao gồm lưu lượng mạng (ví dụ: gói tin TCP/IP), nhật ký hệ thống (ví dụ: nhật ký hệ điều hành, nhật ký ứng dụng) và thông tin từ các cảm biến an ninh khác.

Quy trình phân tích bao gồm các bước: tiền xử lý dữ liệu (ví dụ: loại bỏ các thông tin không liên quan), trích xuất đặc trưng (ví dụ: trích xuất các trường từ gói tin TCP/IP) và so khớp mẫu (ví dụ: so sánh các đặc trưng với cơ sở dữ liệu mẫu tấn công đã biết). Nếu tìm thấy một mẫu khớp, hệ thống sẽ đánh dấu sự kiện là một cuộc tấn công tiềm năng.

Thành phần phản ứng thực hiện các hành động để ngăn chặn hoặc giảm thiểu tác động của cuộc tấn công. Các biện pháp có thể bao gồm: đưa ra cảnh báo cho quản trị viên, chặn lưu lượng mạng độc hại, ghi nhật ký sự kiện và thực hiện các hành động khắc phục.

Snort là một hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) mã nguồn mở mạnh mẽ và linh hoạt. Các thành phần chính bao gồm: Packet Decoder (giải mã gói tin), Preprocessors (xử lý trước gói tin), Detection Engine (động cơ phát hiện) và Output Modules (mô-đun đầu ra).

Quy tắc (Rule) trong Snort được sử dụng để xác định các mẫu tấn công. Mỗi quy tắc bao gồm hai phần chính: Header (tiêu đề) và Options (tùy chọn). Header xác định các đặc điểm cơ bản của gói tin (ví dụ: giao thức, địa chỉ IP, cổng). Options xác định các điều kiện chi tiết hơn và các hành động cần thực hiện khi quy tắc được khớp.

Việc cài đặt Snort có thể khác nhau tùy thuộc vào hệ điều hành. Tuy nhiên, các bước cơ bản bao gồm: tải xuống Snort, cài đặt các thư viện phụ thuộc, cấu hình Snort và khởi động Snort. Sau khi cài đặt, cần cấu hình Snort để phù hợp với môi trường mạng cụ thể.

Hiệu suất của kỹ thuật so khớp mẫu bị ảnh hưởng bởi kích thước cơ sở dữ liệu mẫu, độ phức tạp thuật toán, tài nguyên hệ thống, và chất lượng của dữ liệu đầu vào. Kích thước cơ sở dữ liệu mẫu càng lớn, thời gian tìm kiếm càng lâu. Thuật toán phức tạp có thể tốn nhiều tài nguyên hơn.

Trong bảo vệ mạng doanh nghiệp, so khớp mẫu được dùng để phát hiện tấn công từ chối dịch vụ (DoS), tấn công SQL injection, và các loại tấn công khác. Hệ thống IDS sử dụng so khớp mẫu để so sánh lưu lượng mạng với các mẫu tấn công đã biết.

So khớp mẫu được sử dụng để phân tích lưu lượng mạng, giúp xác định các hoạt động bất thường và các mối đe dọa tiềm ẩn. Nó cũng được sử dụng để phát hiện mã độc, bằng cách so sánh các tệp tin và đoạn mã với cơ sở dữ liệu mẫu mã độc đã biết.

Ưu điểm của so khớp mẫu là đơn giản, hiệu quả trong việc phát hiện các tấn công đã biết, và dễ triển khai. Nhược điểm là không hiệu quả đối với các tấn công mới hoặc biến thể, và đòi hỏi cơ sở dữ liệu mẫu lớn và được cập nhật thường xuyên.

Các hướng nghiên cứu có thể tập trung vào việc phát triển các thuật toán so khớp mẫu nhanh hơn và hiệu quả hơn, tích hợp so khớp mẫu với học máy để phát hiện các tấn công mới, và tự động hóa quá trình tạo và cập nhật cơ sở dữ liệu mẫu.

Để tạo ra một hệ thống IDS mạnh mẽ, cần tích hợp so khớp mẫu với các kỹ thuật khác, chẳng hạn như phát hiện bất thường và phân tích hành vi. Sự kết hợp này có thể giúp phát hiện cả các tấn công đã biết và các tấn công mới.