Chương 1: Giới thiệu dé tài, trình bày về nhu cầu, khó khăn và thách thức của việc phát triển các quy tắc phát hiện xâm nhập, mục đích và ý nghĩa của việc nghiên cứu, giới hạn dé tài và cau trúc bài báo cáo. - Chương 2: Cơ sở lý thuyết, trình bay tong quan về hệ thống phát hiện xâm nhập, hệ thống quản lý sự kiện và thông tin bảo mật, bảo mật dựa trên trực quan hóa, học dựa trên cây quyết định. - Chương 3: Các công trình nghiên cứu liên quan, trình bày các công trình nghiên cứu học dựa theo cây quyết định, cây quyết định tương tác, trực quan hóa bảo mật, phát hiện xâm nhập dựa trên trực quan hóa. - Chương 4: Đề xuất thiết kế và hiện thực nguyên mẫu, trình bày đặc ta dữ liệu đầu vào, thành phần hệ thống, thiết kế giao diện trực quan - tương tác.
- Chương 5: Thí nghiệm và kết quả, trình bày về thu thập dữ liệu, thiết lập thực nghiệm, đánh giá kết qua. - Chương 6: Kết luận, trình bày kết quả các đóng góp của dé tai, hạn chế của dé tài, hướng phát triển trong tương lai. CHƯƠNG 2: CƠ SỞ LÝ THUYET 2. Hệ thống phát hiện xâm nhập (IDS) Hệ thông phát hiện xâm nhập là hệ thống phát hiện các dấu hiệu của tan công xâm nhập.
theo dõi các hoạt động dé tìm ra các dẫu hiệu của tan công và cảnh báo cho người quản trị bảo mật. Khác với tường lửa, hệ thông phát hiện xâm nhập không thực hiện các thao tác ngăn chặn truy nhập nhưng có khả năng phát hiện được các cuộc tấn công từ bên trong. Ngoài ra, hệ thống phát hiện xâm nhập còn có khả năng đánh giá các xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi được các cuộc tan công có nguôn góc từ bên trong một hệ thống. Chức năng ban dau của hệ thống phát hiện xâm nhập chỉ là phát hiện các dau hiện xâm nhập, do đó hệ thống phát hiện xâm nhập chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra.
Càng vẻ sau, nhiễu kỹ thuật mới được tích hợp vào hệ thông phát hiện xâm nhập, giúp nó có khả năng dự đoán được tan công (prediction) và thậm chí phản ứng chủ động lại các tan công đang diễn ra (active response). Dựa trên phạm vi giám sát, hệ thông phát hiện xâm nhập được chia làm thành 2 loại: - Network-based IDS (NIDS): là hệ thống giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của hệ thống là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại công vào của mạng, có thể đứng trước hoặc sau tường lửa.
- Host-based IDS (HIDS): là hệ thống giám sát hoạt động của từng máy tính riêng biệt. Do vay, nguồn thông tin chủ yếu của HIDS, ngoài lưu lượng dữ liệu đến và đi từ máy tính còn có dữ liệu nhật ký hệ thống (system log) va dit liệu kiểm toán hệ thông (system audit). Dựa trên kỹ thuật phat hiện. hệ thống phát hiện xâm nhập cũng được chia thành 2 loại: - Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng va log hệ thong.
Kỹ thuật này đòi hỏi phải duy tri một cơ sở dữ liệu về các dau hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới. - Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tinh thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống dé phát hiện các bất thường (anomaly) có thé là dau hiệu của xâm nhập. Hai khái niệm chính đối với hệ thống phát hiện xâm nhập là phát hiện hành vi bat thường (anomaly detection) và phát hiện dựa trên dấu hiệu nhận diện (signature detection). Với cách tiếp cận phát hiện hành vi bất thường thì hệ thông không tim 5 kiếm những dấu hiệu xâm nhập đã biết, nhưng dựa trên những luéng dữ liệu bat thường.
Việc xây dựng khả năng phát hiện bất thường dựa trên quan điểm sự hoạt động bình thường của một chủ thé như là hệ thống máy tính, người dùng cu thé nào đó.sau đó quyết định bao nhiêu phan trăm một hoạt động sẽ được gan nhãn là bat thường. Còn với cách tiếp cận phát hiện dựa trên dấu hiệu nhận diện thì hệ thống sẽ đưa ra quyết định dựa vào những kiến thức đã biết về quá trình hay cách thức xâm nhập đối với hệ thống quan sát. Hệ thống thường định nghĩa sẵn các hành vi hợp lệ hay không hợp lệ và so sánh với các hành vi được quan sát. Cách tiếp cận phát hiện bất thường có thể hiện thực băng các hệ thống có khả năng tự học (self-study system) hay được lập trình trước (programmed).
Hệ thống có khả năng tự học lại được chia thành hai loại tùy vào dữ liệu đầu vào. o_ Đối với dữ liệu không theo chuỗi thời gian (non-time series) thì có thé hiện thực bằng hai cách: - _ Mô hình hóa quy tac (rule modelling): hệ thống sẽ tự học luồng dit liệu và thiết lập một số quy tắc về các hoạt động bình thường của hệ thống. Ở giai đoạn phát hiện, hệ thống sẽ kiểm tra các quy tắc và kích hoạt báo động nếu luồng dữ liệu không phù hop với điều kiện của quy tắc, thường là dựa trên trọng số nào đó. - M6 tả thống kê (Decriptive statistics): hệ thống sẽ thu thập các tham số hệ thống nhất định dé tạo ra các hồ sơ, sau đó tao ra một véc to khoảng cách giữa luồng dữ liệu quan sát và hồ sơ, nếu khoảng cách đủ lớn, hệ thống sẽ kích hoạt báo động.
o_ Đối với dữ liệu chuỗi thời gian (time series) thì mô hình sẽ phức tạp hơn, vì sẽ cần thu thập các hành vi theo chuỗi thời gian để xây dựng hệ thống. Các kỹ thuật để hiện thực mô hình này như là mô hình che dẫu Markov (HMM) hay mang nơ-ron nhân tạo (ANN) và các kỹ thuật mô hình don giản hay phức tạp khác. Mạng nơ-ron nhân tạo là một ví dụ của cách tiếp cận mô hình hộp đen (black box). Các luồng dữ liệu bình thường sẽ được đưa vào ANN, với một quá trình học các mẫu dữ liệu bình thường.
Kết quả đầu ra của ANN sẽ được áp dụng cho các luồng dữ liệu mới va được dùng dé ra quyết định cho việc phát hiện xâm nhập. Trong da số các trường hợp thì kết qua dau ra chưa đủ chất lượng để được sử dụng trực tiếp, mà sẽ tiếp tục đưa vào một hệ thống chuyên gia ở mức hai dé đưa ra quyết định cuối cùng. Hệ thống được lập trình sẵn thì cần có người, có thể là người sử dụng hoặc người định nghĩa chức nang, người có thé chạy cho hệ thống hoặc lập trình dé phát hiện ra các sự kiện bất thường cụ thé. Hệ thống nay cũng được chia làm hai loại: 6 o Mô tả thống kê: hệ thống sẽ xây dựng các hồ sơ của các hành vi bình thường đã được thống kê dựa trên các tham số của hệ thống, các hành vi có thể là số lần đăng nhập không thành công, SỐ lượng kết nối mạng, SỐ lượng lệnh có lỗi trả về,.
Trong mô hình này, có thé hiện thực băng những thống kê đơn giản hoặc những quy tắc đơn giản hay mức ngưỡng. o Mặc định ngăn cấm (default deny): ý tưởng của mô hình là dựa trên quan điểm của bảo mật, khi mặc định các hoạt động đều có thé là xâm nhập nên cần phải ngăn cam. Mô hình chuỗi trạng thái (state series modelling) sẽ hiện thực các chính sách trong đó sẽ xác định các trạng thái nào là không có khả năng xâm nhập để cho phép trạng thái đó xảy ra. Việc giám sát các hành vi sẽ dựa vào các trạng thái đã được xây dựng sẵn cũng như các khả năng chuyền trạng thái an toàn, giúp hệ thống xác định hành vi nào sẽ được cho phép.
Cách tiếp cận phát hiện dựa vào các dau hiệu dấu hiệu nhận diện thì được hiện thực dựa trên lập trình với các quy tắc quyết định tường minh, các quy tắc phát hiện đơn giản chỉ là bao gdm các đoạn mã dé kiểm tra các sự kiện của một sự xâm nhập. Đây là mô hình tự nhiên với việc kiểm tra nghiêm ngặt các hành vi hợp lệ hay không hợp lệ ngay cả là đối với các hành vi được cho là bình thường. Có nhiều cách để hiện thực mô hình này: o Mô hình trạng thai (state modelling): sẽ xác định xâm nhập dựa và một trạng thái khác lạ được xem xét trên không gian quan sát. Mô hình này bao gôm hai tập con là tập chuyển trạng thái và cây perti-net.
Trong trường hop nay, cấu trúc cây trạng thái sẽ tong quá hơn cho bất ky trạng thái nào xảy ra trong mô hình. o Hệ chuyên gia (expert system): sử dụng hệ chuyên gia để xác định các trạng thái bảo mật, xây dựng các quy tắc để mô tả hành vi xâm nhập. Thường thì các công cụ sẽ được dùng để hệ thống xác định một sự kiện sẽ được định nghĩa và đưa vào hệ thông. Người dùng sẽ được cung cấp một cơ chế mạnh mẽ dé xây dựng một hệ thống chuyên gia có năng lực và uyén chuyền.
Điều này cũng sẽ tốn nhiều chi phí cho việc tăng tốc độ xây dựng hệ thống so với các phương pháp đơn giản khác. o So trùng chuỗi (string matching): hệ thống rất đơn giản, chỉ là so trung các chuỗi ký tự được truyền nhận giữa các hệ thống. Phương thức này rất đơn giản để hiểu nhưng lại thiếu sự uyễn chuyển. o_ Dựa trên quy tắc đơn giản (simple rule based): hệ thống tương tự như hệ chuyên gia mạnh mẽ ở trên, nhưng không ưu điểm băng.
Nhưng lại có ưu thế về tốc độ thực thi. Ngoài ra còn có một cách tiếp cận khác là xây dựng hệ thống phát hiện phức hop, vừa dựa trên những ưu điểm của hệ thống phát hiện dựa trên dau hiệu nhận diện. 7 nhưng cũng tăng cường thêm khả năng tự hoc dé phát hiện những dau hiệu xâm nhập chưa hay không có định nghĩa các cơ sở dữ liệu các dau hiệu nhận diện. Việc tự học có thể dựa trên khả năng tự động lựa chọn các đặc điểm dé học.
Nói thêm về một số khái niệm khác trong hệ thông phát hiện xâm nhập như việc phân loại các kiểu xâm nhập. Phân loại ở mức tong quan, ta có: o Xâm nhập đã biết rõ (well known instrusions): kiểu xâm nhập là đã biết trước và rất ít các biến thể, được định nghĩa sẵn trong cơ sở dữ liệu phát hiện xâm nhập.