VIỆN ĐẠi học mở HÀ NỘi khoa công nghệ thông tin đỒ Án tốt nghiệP ĐẠi họC

1.7.5.Công cụ hỗ trợ của IDS

• 
  Hệ thống phân tích tổn thương.
  
• 
  Bộ kiểm tra toàn vẹn dữ liệu.
  
• 
  Honey pots,
  
• 
  Padded call.
  

Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị tổn thương) là công cụ kiểm tra xác dịnh liệu có phải một mạng hay host . Sự đánh giá tổn thương đại diện môi trường đặc biệt của quá trình phát hiện xâm nhập. Nhưng thông tin bao gồm tính trạng hệ thóng và hậu quả của những tấn công được phân tích và đánh giá. Những thông tin này được tổng hợp phân tích lại tại bộ cảm biến. Sự phân tích đánh giá tổn thương là một kỹ thuật quản lý an toàn rất mạnh và là sự bổ sung thích hợp tới việc sử dụng IDS, không phải chỉ như một sự thay thế. Cần phải có một tổ chức tin cây quản lý những công cụ phân tích đánh giá tổn thương để theo dõi những hệ thống này.

12. 
    Quá trình phân tích đánh giá tổn thương
    

• 
  Lấy một mẫu bao gồm tập hợp các thuộc tính của hệ thống.
  
• 
  Kết quá của việc lấy mốc được cất vào mọt chỗ an toàn.
  
• 
  Kết quả này được so sánh với ít nhất một mẫu trước đó hoặc một mẫu lý tưởng trước đó.
  
• 
  Bất kỳ sự khác nhau giữa hai tập hợp được tổng hợp và báo cáo.
  

13. 
    Các kiểu phân tích đánh giá tổn thương
    

• 
  Host-based: Phân tích đánh giá tổn thương chính là việc đánh giá dữ liệ của hệ thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác.
  
• 
  Network-based: Sự phân tích đánh giá tổn thương yêu cầu một kết nối từ xa tói hệ thống đich. Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống hay đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống.
  

14. 
    Kiểm tra toàn vẹn dữ liệu
    

15. 
    Honey Pot và Padded Cell System
    

• 
  Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
  
• 
  Tập hợp thông tin về tin tặc và hành động của tin tặc.
  
• 
  Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người phản hồi lại.
  

2. 
   Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập
   

1. 
   Hệ thống Expert (Expert System)
   

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đỏi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuât rất mạnh và thường được sử dụng trong hệ thống thương mại (Ví dụ như: Cisco Secure IDS, Toierald eXpert-BSM (Solaris)).

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nà một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hai hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hienj được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước.

Phương pháp này thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa. Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri Nets. Với kỹ thuật này, các quản trị viên sẽ dễ dàng hơn trong việc bổ sung thêm dấu hiệu mới. Mặc dù vậy, việc tổng quát hóa một dấu hiệu phức tạp vói dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian. Kỹ thuật này không được sử dụng trong các hệ thống thương mại.

Phương pháp phân tích thống kê (Statistical analysis approach)

Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU … Chu kỳ nâng cấp có thể thay đổi từ vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thể hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biểu nhóm đã được gộp lại cũng ít có hiệu quả.

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường.

Phương pháp này sử dụng các thuật toán đang được nghiên cứu về mối quan hệ giữa các vector đầu vào – đầu ra và tổng quát hóa chúng để rút ra mối quan hệ vào/ ra mới. Phương pháp neural network được sử dụng cho phát hiện xâm nhập, mục đích chính là để nghiên cứu hành vi của người tham gia của mạng (người dùng hay kẻ xâm phạm). Thực ra các phương pháp thống kê cũng một phần được coi như neural networks. Sử dụng mạng neural trên thống kê hiện có hoặc tập trung đơn giản để biểu diễn mối quan hệ khong tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động. Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng. TỪ những kết quả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán. Với một số ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự đoán. Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộng đồng phát hiện xâm nhập.

Với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật đã được xây dựng từ mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn là người dùng riêng lẻ. Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành bởi các quá trình. Các tấn công khai thác lỗ hổng trong mã ứng dụng rất có khả năng gây ra đường dẫn thực thi không bình thường. Đầu tiên, một tập dữ liệu kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ, sau đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc gọi hệ thống. Các mẫu đó sau dó được sử dụng cho việc kiểm tra liên tục các cuộc gọi hệ thống, để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa nếu không, một cảnh báo sẽ được tạo ra. Kỹ thuật này có tỉ lệ cảnh báo sai rất thấp. Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụ mạng.

Đây là một kỹ thuật thông minh nhân tạo. Nó lưu luồng lệnh đầu ra người dùng vào các biểu mẫu vector và sử dụng một tham chiếu của profile hành vi người dùng thông thường. Các profile sau đó được nhóm vào trong một thư viện lệnh người dùng có các thành phần chung nào dó. Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử dụng quá trinh trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn. Phương pháp tối thiểu dữ liệu này vượt trội hơn đối với việc xử lý bàn ghi hệ thống lớn (dữ liệu kiểm định). Mặc dù vậy, chúng kém hữu dụng đối với viêc phân tích luồng lưu lượng mạng. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụng trong phát hiện xâm nhập được kết hợp với các cây phán quyết. Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ sở dữ liệu lớn. Kỹ thuật khác phải dùng đến các đoạn, cho phép trích dẫn mẫu của các tấn công chưa biết. Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu đã được trích từ tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn công chưa biết đã cất giữ. Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp với việc tìm hiểu các nguyên tắc kết hợp. Nó cho phép ai đó có thể trích kiến thức chưa hiểu trước đó về các tấn công mới hoặc đã xây dựn trên mẫu hành vi thông thường. Sự phát hiện bất thường gây ra các cành báo sai. Với việc tối thiểu hóa dữ liệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các cảnh báo với dữ liệu kiểm định tối thiểu, do đó giảm đáng kể xác suất báo sai.