An ninh bảo mật - Chương 4: Phát hiện xâm nhập cơ sở dữ liệu trái phép

GV: Nguyễn Phương TâmChương 4. PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP Giới thiệu một số công cụ phát hiện xâm nhập trái phépTrình bày hướng tiếp cận dựa vào các hệ chuyên gia Trình bày các xu hướng chung trong việc phát hiện xâm nhập MỤC TIÊUDate Phương Tâm4.1 Giới thiệu4.2 Các công cụ tự động phát hiện xâm nhập4.3 Hướng tiếp cận dựa vào hệ chuyên gia4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy4.5 Các xu hướng chung trong phát hiện xâm nhậpNỘI DUNGDate Phương Tâm4.1 GIỚI THIỆUMục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như: Xâm phạm tính toàn vẹn.Từ chối dịch vụ.Truy nhập trái phép.Date Phương Tâm4.1 GIỚI THIỆUKhó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như:Người sử dụng áp dụng các biện pháp này chưa đúngCác kiểm soát an toàn làm giảm hiệu năng của hệ thống.Những người sử dụng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra.Date Phương Tâm4.1 GIỚI THIỆUPhát hiện xâm nhập là gì?Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người sử dụng hệ thống bất hợp pháp (“tội phạm máy tính” - hacker) và những người sử dụng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (“đe doạ bên trong”).Date Phương Tâm4.1 GIỚI THIỆUVí dụ:Sửa đổi trái phép các tập tin để có thể truy nhập vào dữ liệu.Truy nhập hoặc sửa đổi trái phép các tập tin người sử dụng và thông tin.Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng).Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có.Date Phương Tâm4.1 GIỚI THIỆUMô hình phát hiện xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình phát hiện xâm nhập. Hiện nay có hai kiểu mô hình phát hiện xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) áp dụng là:Mô hình phát hiện tình trạng bất thường (Anomaly detection models) Mô hình phát hiện sự lạm dụng (Misuse detection models) Date Phương Tâm4.1 GIỚI THIỆUMô hình phát hiện tình trạng bất thường: Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người sử dụng) một cách có thống kê với các tham số trong phiên làm việc của người sử dụng hiện tại. Các sai lệch 'đáng kể' so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra).Date Phương Tâm4.1 GIỚI THIỆUMô hình phát hiện sự lạm dụng: Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người sử dụng với các mẫu tấn công đã có, được lưu trong hệ thống.Date Phương Tâm4.1 GIỚI THIỆUCơ chế làm việc dựa vào kiểm toán: Các IDS kiểm soát hành vi của người sử dụng trong hệ thống bằng cách theo dõi các yêu cầu mà người sử dụng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó.Date Phương Tâm4.1 GIỚI THIỆUNhược điểm:Các kiểm soát kiểm toán rất phức tạp và được tiến hành sau cùng.Việc kiểm toán được thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất nhiều khả năng làm việc của hệ thống. Các kiểm soát kiểm toán này không được tiến hành thường xuyên. Kết quả là các tấn công vào hệ thống không được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đã xảy ra được một thời gian khá lâu. Date Phương Tâm4.1 GIỚI THIỆUMột số IDS: Các IDS dựa vào việc phân tích các vết kiểm toán do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ chuyên gia phát hiện xâm nhập) của SRI.MIDAS của Trung tâm an ninh quốc gia.Haystack System của Thư viện Haystack.Wisdom & Sense của thư viện quốc gia Alamos...Date Phương TâmCác hệ thống phát hiện xâm nhập (IDS) được sử dụng kết hợp với các kiểm soát truy nhập, nhằm phát hiện ra các xâm phạm hoặc các cố gắng xâm phạm có thể xảy ra. Kiến trúc cơ bản của một IDS4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPDate Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPVết kiểm toán(Audit trail)Phát hiện sự bất thường (Anomaly detection)Phân tích sự lạm dụng(Misuse analysis)CSDL mẫu tấn công CSDL profile Mức nghi ngờ(Suspicion level)Nhân viên an ninh(Security officer)Kiến trúc cơ bản của một IDSDate Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPCác bước xử lýTiền xử lýPhân tích bất thườngSo sánh mẫuCảnh báoDate Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPKhi phân tích an toàn dữ liệu kiểm toán, một mục đích của các công cụ tự động là giảm khối lượng dữ liệu kiểm toán được xem xét một cách thủ công. Các công cụ này có thể đưa ra các bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực tuyến hoặc ngoại tuyến.Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy ra với hệ thống như: các đối tượng xâm nhập bên ngoài, xâm nhập bên trong và đối tượng lạm dụng quyền gây ra.Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính là những ‘người sử dụng bí mật’ được định nghĩa là những người có thể tránh được các kiểm soát truy nhập và kiểm toán, bằng cách sử dụng các đặc quyền của hệ thống, hoặc hoạt động tại mức thấp hơn mức kiểm toán. Date Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPChúng ta có thể giải quyết tình trạng này bằng cách:Giảm mức kiểm toán xuống thấp hơn. (Ví dụ, mức kiểm toán chỉ đến mức file, bảng CSDL, ta giảm xuống mức bản ghi, mức cột, mức phần tử...)Định nghĩa các mẫu sử dụng thông thường của các tham số hệ thống (như hoạt động của CPU, bộ nhớ và sử dụng ổ đĩa) và so sánh chúng các giá trị thực trong quá trình sử dụng hệ thống. Date Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPTừ các vết kiểm toán ghi lại được, các IDS tiến hành một số kiểu phân tích như sau: So sánh hoạt động của người sử dụng với các profile để phát hiện sự bất thường,So sánh với các phương pháp tấn công đã biết để phát hiện lạm dụng và một số chương trình thì tiến hành cả hai. Date Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPHoạt động của IDS Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một số) máy chủ (host).Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra một profile có lưu các hoạt độngSo sánh nó với CSDL bên trong của máy chủ. Nếu CSDL này là một CSDL cho phát hiện bất thường thì việc so sánh mang tính chất thống kê, còn nếu nó là một CSDL lạm dụng thì tiến hành đối chiếu mẫu khi so sánh. Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy diễn, phân tích dự báo, hoặc các phương pháp xấp xỉ khác. Date Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPHoạt động của IDS Kết quả phân tích thu được:Có thể được lưu giữ trong CSDL của IDS Được dùng để sửa đổi các bản ghi kiểm toán, bằng cách bổ sung thêm/xoá bỏ một số đặc điểm, rồi chuyển cho bộ phận phân tích của hệ thống, nhờ đó IDS có thể kiểm soát được tình hình. Date Phương Tâm4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬPCác hướng tiếp cận của IDS Đưa các cửa sập (trapdoors) vào trong hệ thống.Xác định các quy tắc (hướng tiếp cận phổ biến).Sử dụng mô hình dựa vào lập luận.Định nghĩa các hành vi được chấp nhận. Date Phương TâmCÁC HƯỚNG TIẾP CẬN CỦA IDS Xác định các quy tắc là hướng tiếp cận phổ biến. Định nghĩa các mẫu hành vi cho các lớp người sử dụng, Phát triển các IDS chuyên gia. Các phân tích trợ giúp có thể kết hợp các kiến thức chuyên gia (về các vấn đề an toàn) với khả năng xử lý chính xác và kết hợp một khối lượng lớn dữ liệu của hệ thống.Hạn chế: Quy tắc chính là dữ liệu kiểm toán được tìm kiếm cho các tấn công đã biết, trong khi nhiều xâm nhập có thể xảy ra theo các chế độ chưa được biết. Việc viết quy tắc rất phức tạp, đồng thời việc duy trì nó cũng rất khó khăn.Date Phương TâmSử dụng mô hình dựa vào lập luận (model-based reasoning). Mô hình này dựa vào các giả thiết, kẻ xâm nhập sử dụng các thủ tục đặc thù để tấn công vào một hệ thống, chẳng hạn như tấn công mật khẩu hệ thống hoặc truy nhập vào các tập tin đặc quyền. Hệ thống phát hiện xâm nhập suy luận, lấy mô hình làm cơ sở, có nghĩa là hệ thống tìm kiếm những kẻ xâm nhập bằng cách tìm kiếm các hoạt động nằm trong kịch bản tấn công đã được giả thiết từ trước. Các kịch bản biến đổi tuỳ thuộc vào kiểu của hệ thống và kẻ xâm nhập. CÁC HƯỚNG TIẾP CẬN CỦA IDS Date Phương TâmSử dụng mô hình dựa vào lập luận (model-based reasoning). Lợi ích: chính là khả năng chọn lọc dữ liệu kiểm toán của nó: dữ liệu liên quan được tập trung lại, do đó giảm bớt số lượng dữ liệu được mang ra xem xét. Tuy nhiên, chúng ta có thể tuân theo các hoạt động ngăn ngừa chống xâm nhập, khi hệ thống có khả năng dự báo. Hạn chế: Với các hệ chuyên gia, hướng tiếp cận bị hạn chế, bởi vì nó tìm kiếm các kịch bản xâm nhập đã biết, nhưng vẫn có thể tồn tại nhiều điểm yếu và các tấn công không được biết trước. Do vậy, cần nghiên cứu kết hợp mô hình dựa vào lập luận với việc phát hiện sự không bình thường mang tính thống kê.CÁC HƯỚNG TIẾP CẬN CỦA IDS Date Phương TâmCác dự án gần đây khai thác khả năng của các mạng nơron để đối phó lại các tấn công xâm nhập. Mạng nơron giải quyết vấn đề của các phương pháp thống kê. Hiện nay, mặc dù có nhiều triển vọng nhưng hướng tiếp cận này không được phát triển thích đáng để có thể thay thế các thành phần thống kê nằm trong các nguyên mẫu hiện có. CÁC HƯỚNG TIẾP CẬN CỦA IDS Date Phương TâmVới các xâm nhập đặc biệt (như virus) và các xâm nhập nói chung, các hệ thống hiện có được phân loại thành:Các bộ giám sát sự xuất hiện (appearance monitors): Bộ giám sát sự xuất hiện là công cụ phân tích tĩnh, được sử dụng để phát hiện sự không bình thường trong các tập tin nguồn và các tập tin thực hiện.Các bộ giám sát hành vi (behaviour monitors). Bộ giám sát hành vi tự động xem xét hành vi của các tiến trình khi có hoạt động nguy hiểm xảy ra. Theo sự phân loại này, IDES là một bộ giám sát hành vi trong thời gian thực, nó nhận dạng một tập các tham số kiểm toán, thiết lập hệ thống và các profile người sử dụng.CÁC HƯỚNG TIẾP CẬN CỦA IDS Date Phương Tâm4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIACác lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm: Nhiều hệ thống đang tồn tại có các điểm yếu về an toàn, chính vì vậy các đe doạ xâm nhập có thể xảy ra. Người ta thường khó có thể xác định chính xác hoặc loại trừ các điểm yếu này, vì các lý do kỹ thuật và kinh tế. Việc thay thế các hệ thống đang tồn tại (với các điểm yếu đã biết) bằng các hệ thống an toàn lại không dễ dàng, bởi vì các hệ thống này thường phụ thuộc vào hệ thống ứng dụng, hoặc việc thay thế đòi hỏi nhiều nỗ lực rất lớn về kỹ thuật và kinh tế. Date Phương Tâm4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA - IDESCác lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm: Việc phát triển các hệ thống an toàn tuyệt đối là vô cùng khó khăn, thường là không thể. Thậm chí, các hệ thống an toàn cao là các điểm yếu dễ bị người sử dụng hợp pháp lạm dụng.Date Phương Tâm4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA - IDESIDES là một hệ thống thời gian thực. IDES giám sát các đe doạ bên ngoài (người sử dụng cố gắng xâm nhập vào hệ thống) và các đe doạ bên trong (người sử dụng cố gắng lạm dụng các quyền của mình). IDES sử dụng cách tiếp cận chuyên gia, bằng cách giả thiết rằng việc khai thác các điểm yếu của hệ thống do các hành vi xâm phạm gây ra sẽ dẫn đến việc sử dụng bất thường. Do đó, bằng việc quan sát hành vi của người sử dụng, ta có thể phát hiện ra những hành vi bất thường bằng cách định nghĩa các hành vi bình thường, các quy tắc đánh giá cho việc phát hiện hành vi bất thường.Date Phương Tâm4.3.1 Các mối quan hệ giữa các hành vi đe dọaCác mối quan hệ cơ bản giữa các loại xâm nhập và hành vi bất thường trong IDES là:Sự cố gắng xâm nhập: Nhiều lần cố gắng đăng nhập sử dụng những mật khẩu khác nhau với cùng một tài khoản, hoặc sử dụng cùng một mật khẩu với nhiều tên account khác nhau.Sự giả mạo: xâm nhập qua đăng nhập hợp pháp (nghĩa là tên tài khoản và mật khẩu lấy cắp được hoặc sao chép được, chúng là hợp lệ) và sau đó sử dụng hệ thống khác mẫu thông thường (như: duyệt thư mục thay vì những hành động bình thường: soạn thảo, biên dịch, liên kết,).Date Phương Tâm4.3.1 Các mối quan hệ giữa các hành vi đe dọaXâm nhập của những người sử dụng hợp pháp: những người sử dụng hợp pháp cố gắng phá vỡ các kiểm soát an toàn (họ sử dụng các chương trình khác với bình thường chúng vẫn chạy). Nếu sự xâm nhập này thành công, họ sẽ truy nhập được vào các file và các lệnh (bình thường bị cấm), do đó thể hiện những hành vi bất thường.Sự truyền bá dữ liệu bởi những người sử dụng hợp pháp: một người sử dụng cố gắng truy nhập vào dữ liệu nhạy cảm bằng cách đăng nhập ở những thời điểm khác thường, bằng cách viết theo kiểu bất thường (nhiều lần thực hiện đọc), sử dụng các máy in từ xa, hoặc sinh ra nhiều bản sao hơn bình thường.Date Phương Tâm4.3.1 Các mối quan hệ giữa các hành vi đe dọaSuy diễn bởi những người sử dụng hợp pháp: lấy được dữ liệu bí mật bằng cách gộp hoặc suy diến.Trojan: là một đoạn chương trình được chèn vào hoặc thay thế một chương trình, nó có thể thay đổi tốc độ sử dụng CPU, bộ nhớ, thiết bị VirusDate Phương Tâm4.3.2 Phân tích hành vi bất thườngViệc định nghĩa mô hình phát hiện xâm nhập này cần yêu cầu định nghĩa các profile và các quy tắc. Việc định nghĩa các profile có thể dùng các thuật ngữ metric và các mô hình thống kê (statistical models). Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMột metric là một biến ngẫu nhiên x thể hiện một lượng vượt quá khoảng thời gian quan sát cho trước (hoặc là khoảng thời gian cố định, hoặc là khoảng thời gian giữa 2 sự kiện tương quan). Sự quan sát này là theo dõi các hành động của người sử dụng, các hành động này là các điểm mẫu xi của x được sử dụng trong một mô hình thống kê để xác định xem một biến quan sát mới có được coi là ‘bình thường’ hay không.Mô hình thống kê này độc lập với sự phân phối của x, do đó tất cả hiểu biết về x có thể đạt được từ những biến quan sát đó.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMetrics Các metrics thể hiện cách thức nhóm những biến quan sát đơn lẻ của hành vi của một người sử dụng để tạo ra một profile liên quan đến hành vi của người sử dụng đó. Một số metric có thể được sử dụng như:Event Counter (bộ đếm sự kiện): x là số sự kiện liên quan đến một khoảng thời gian cho trước, khoảng thời gian này thỏa mãn các thuộc tính đã cho. Ví dụ, x có thể mô tả số lần đăng nhập trong một giờ, số lần một lệnh cụ thể được thực hiện trong một phiên làm việc, số lượng các mật khẩu sai trong một phút, hay số lương các truy nhập trái phép vào một file trong một ngày.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMetricsTime interval (khoảng thời gian): x là khoảng thời gian giữa hai sự kiện liên quan: ví dụ khoảng thời gian giữa hai lần đăng nhập liên tiếp liên quan đến một tài khoản đơn lẻ.Resource measurement: x là lượng tài nguyên được sử dụng bởi một hoạt động của hệ thống trong một khoảng thời gian đã cho: ví dụ, tổng số trang được in bởi một người sử dụng trong một ngày, tổng thời gian CPU của một chương trình đang chạy, hay số lượng các bản ghi được đọc trong 1 ngày. Chú ý Resource measurement có thể thuộc kiểu event counter hay time interval, ví dụ số lượng các trang được in là một event counter.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMô hình thống kê – statistical modelsVới một metric đã cho của một biến ngẫu nhiên x và n biến quan sát x1, x2,..,xn, mục đích của một mô hình thống kê của x là để xác định xem nếu có một biến quan sát mới xn+1 được so sánh là bất thường với các biến trước đó. Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMô hình thống kê – statistical models Một số mô hình thống kê được sử dụng cho mục đích này là:Operational model – mô hình thao tácMô hình độ lệch trung bình và độ lệch chuẩn Multivaried model – mô hình đa biếnMarkovian model – mô hình MackopTime series model – mô hình chuỗi thời gianDate Phương Tâm4.3.2 Phân tích hành vi bất thườngOperational model – mô hình thao tác: Giả thiết rằng sự bất thường có thể xác định được bằng cách so sánh một biến quan sát mới của x với một giới hạn cố định. Giới hạn cố định này sẽ được tính nhờ các biến quan sát trước của x. Mô hình này có thể áp dụng với các metric để chỉ ra các giá trị ngưỡng tồn tại liên quan đến các xâm nhập. Ví dụ: 3 lần đăng nhập sai có thể bị nghi ngờ là một dạng đe dọa xâm nhập, hay một truy nhập được thực hiện bằng cách đăng nhập một tài khoản đã không sử dụng 2 tháng được coi là một xâm nhập.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMô hình độ lệch trung bình và độ lệch chuẩn: mô hình này dựa vào giả thiết rằng một biến quan sát mới được xem là ‘bình thường’ nếu nó nằm trong khoảng tin cậy ,trong đó: avg độ lệch trung bìnhstdev là độ lệnh chuẩnd là một tham số.Date Phương Tâm4.3.2 Phân tích hành vi bất thường Mô hình này có thể áp dụng với tất cả các metrics được mô tả trước đó. Thuận lợi của nó là không có hiểu biết ban đầu nào về hoạt động bình thường của người sử dụng được yêu cầu, thay bởi đó, mô hình ‘học’ từ các biến quan sát và có thể dễ dàng so sánh giữa những người sử dụng, trong đó những gì là ‘bình thường’ với một người sử dụng có thể ‘bất thường’ với những người sử dụng khác.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngMultivaried model – Mô hình đa biến: Mô hình này tương tự với mô hình trên, trừ thực tế là nó dựa vào tương quan giữa hai hoặc hơn hai metric. Markovian model – Mô hình Markop: Mô hình này xét mỗi kiểu sự kiện (yêu cầu của người sử dụng) như một biến trạng thái, và sử dụng một ma trận chuyển đổi trạng thái để mô tả các tần suất biến đổi giữa các trạng thái. Một biến quan sát mới được gọi là 'bình thường' nếu xác suất của nó được xác định bởi trạng thái trước đó và bởi ma trận chuyển đổi là cao. Mô hình này chỉ có thể áp dụng cho metric event counter, hữu ích trong việc kiểm soát sự biến đổi giữa các lệnh đã cho, khi chuỗi các lệnh này liên quan đến nhau.Date Phương Tâm4.3.2 Phân tích hành vi bất thườngTime series model: Mô hình chuỗi thời gian Mô hình này sử dụng cả event counter, measurement of resource và interval metric, được xác định bởi thứ tự và khoảng thời gian xảy ra giữa các biến quan sát và các giá trị của các biến quan sát đó. Một biến quan sát mới được gọi là 'bất thường' nếu xác suất của sự xuất hiện của nó là quá thấp. Thuận lợi của mô hình này là nó cho phép đánh giá hành vi của người sử dụng. Nhưng bất lợi của nó là chi phí cao.Date Phương TâmSự mô tả profileMột số profile được sử dụng để so sánh hành vi thực của những người sử dụng được mô tả trong profile. Mỗi một profile sử dụng một metric và một mô hình thống kê. Các profile được xác định với các chủ thể thực hiện hành động, xác định các đối tượng là nơi các hành động được thực hiện, xác định loại hành động. Profile hành vi có thể được xác định cho mỗi chủ thể trong mỗi đối tượng, hoặc cho mỗi lớp chủ thể/đối tượng. Date Phương TâmSự mô tả profileSystemObject classSubject classSubject class - Object classSubjectObjectSubject - Object classSubject class- ObjectSubject - ObjectHình 4.3 Hệ phân cấp các phần tử mà các profile hành vi định nghĩaDate Phương TâmSự mô tả profileCác profile hoạt động đăng nhập và phiên làm việc Các profile này ghi các hành động được thực hiện bởi một chủ thể (người sử dụng) trên các đối tượng được hiển thị trên các site đăng nhập của người sử dụng (các site này là các máy đầu cuối, các máy trạm, các mạng, các máy chủ từ xa, ...). Date Phương TâmSự mô tả profileCác profile hoạt động đăng nhập và phiên làm việc: Các profile đó có thể được mô tả cụ thể bởi các thuật ngữ sau:Tần số đăng nhậpTần số vị trí.Đăng nhập lần cuối. Session duration- khoảng thời gian của phiên làm việc.Session output – số lượng đầu ra.CPU per session, I/O per session, pages per session,..Lỗi mật khẩu.Lỗi vị trí.Date Phương TâmSự mô tả profileTần số đăng nhập: Sử dụng metric event counter Và mô hình thống kê độ lệch trung bình/chuẩn.Các profile dựa vào đăng nhập có thể được sử dụng để phát hiện những người sử dụng kết nối qua số tài khoản không hợp lệ trong suốt những giờ không phải giờ làm việc. Các profile đăng nhập có thể được định nghĩa cho những người sử dụng đơn lẻ (hoặc nhóm người sử dụng), và các lớp đối tượng có thể được tạo thành theo kiểu vị trí, kiểu kết nối.Date Phương TâmSự mô tả profileTần số vị trí:Tham số này kiểm soát tần số đăng nhập từ các site khác nhau, bằng cách sử dụng event counter và mô hình độ lệch trung bình/ chuẩn. Một số phương pháp liên quan đến profile này có thể được xét một cách riêng biệt, theo ngày trong tuần và khoảng thời gian trong ngày; bởi vì một người sử dụng có thể kết nối từ một vị trí trong suốt những giờ làm việc và từ vị trí khác trong những giờ không phải giờ làm việc.Date Phương TâmSự mô tả profileĐăng nhập lần cuối: Profile này kiểm soát thời gian trôi qua từ lần đăng nhập cuối cùng, sử dụng metric time interval và mô hình thao tác. Profile này nên được định nghĩa cho những người sử dụng đơn lẻ và các lớp vị trí. Không cần thiết định nghĩa các profile cho mỗi site đơn lẻ, bởi vì vị trí chính xác có thể là không liên quan. Date Phương TâmSự mô tả profileSession duration- khoảng thời gian của phiên làm việc: Tham số này kiểm soát khoảng thời gian của một phiên làm việc sử dụng metric time interval và mô hình độ lệch trung bình/chuẩn. Profile này có thể được định nghĩa cho những người sử dụng đơn lẻ hoặc các nhóm người sử dụng, nhưng nên định nghĩa cho các lớp đối tượng. Độ lệch so với hành vi chuẩn được đánh dấu là các tấn công.Date Phương TâmSự mô tả profileSession output: Tham số này kiểm soát số lượng đầu ra được sinh ra tư một máy đầu cuối, trong một phiên làm việc hoặc trong một ngày, sử dụng metric đếm tài nguyên và mô hình độ lệch trung bình/chuẩn. Định nghĩa profile này cho các site riêng hoặc các lớp vị trí sẽ có ích trong việc xác định sự quá tải dữ liệu truyền tới các vị trí ở xa, đó được coi là một hành động không hợp lệ truyền dữ liệu nhạy cảm.Date Phương TâmSự mô tả profileCPU per session, I/O per session, pages per session,.. các tham số này kiểm soát việc sử dụng các tài nguyên trong một phiên làm việc sử dụng metric đánh giá tài nguyên và mô hình độ lệch trung bình/chuẩn.Các profile hữu ích trong việc xác định các xâm nhập.Lỗi mật khẩu: profile này kiểm soát số mật khẩu lỗi liên quan đến một đăng nhập đã cho sử dụng metric event counter và mô hình thao tác. Profile này có ích để phát hiện xâm nhập với những người sử dụng đơn lẻ và tất cả các người sử dụng hệ thống.Date Phương TâmSự mô tả profileLỗi vị trí: phần tử này kiểm soát các lỗi đăng nhập sử dụng event counter và mô hình thao tác. Profile này có thể được định nghĩa cho những người sử dụng dơn và cho các nhóm vị trí. Các nhóm vị trí có thể được xét bởi vì một site cụ thể không liên quan đến các mục đích kiểm soát, ngược lại thực tế rằng một vị trí không hợp lệ thì lại rất có ý nghĩa.Profile này có thể được sử dụng để xác định các cố gắng xâm nhập hoặc các cố gắng kết nối từ các máy đặc quyền.Date Phương TâmSự mô tả profileCác profile truy nhập file Các profile truy nhập file xét các phép toán 'read', 'write', 'delete' và 'append' được thực hiện trên một file. Các file có thể được phân loại theo kiểu file (text, file thực thi, thư mục,...) theo người sử dụng chúng hoặc file hệ thống, hoặc các đặc tính khác. Một chương trình cũng là một file. Số các file trong một hệ thống có thể rất cao, vì vậy không thể kiểm soát cho từng file.Tuy nhiên, các file liên quan đến bảo mật có thể kiểm soát riêng, ví dụ trong các file mật khẩu, các file chứa quyền, chứa dữ liệu kiểm toán hoặc các bảng định tuyến trong mạng.Date Phương TâmSự mô tả profileCác profile truy nhập file Các profile truy nhập file có thể được xác định với:Tần số read, write, delete.Các bản ghi được read/written.Lỗi đọc, ghi, xoá, tạo.Date Phương TâmSự mô tả profileTần số read, write, delete: Tham số này kiểm soát số lượng truy nhập và các kiểu chế độ truy nhập. Profile tần số truy nhập với các phép toán 'đọc'/'ghi' có thể được xác định cho những người sử dụng đơn lẻ và các file hoặc cho các lớp người sử dụng hay các lớp file. Các profile cho các phép toán 'create'/'delete' chỉ có nghĩa với việc gộp file, bởi vì mỗi file được tạo ra hoặc bị xoá nhiều nhất 1 lần. Sự bất thường trong truy nhập 'đọc'/'ghi' đối với những người sử dụng đơn lẻ có thể thể hiện tấn công.Date Phương TâmSự mô tả profileCác bản ghi được read/written: Các tham số này kiểm soát số lượng các bản ghi được đọc/được ghi sử dụng metric đánh giá trài nguyên và mô hình độ lệch trung bình/chuẩn. Các profile này có thể được đánh giá cho mỗi truy nhập hoặc trong một ngày. Chúng có thể được định nghĩa cho những người sử dụng đơn, các file đơn hoặc cho các lớp người sử dụng, lớp file. Sự bất thường có thể báo hiệu những sự cố gắng để đạt được dữ liệu nhạy cảm qua quá trình suy diễn và gộp (ví dụ, yêu cầu số lượng lớn dữ liệu tương quan nhau).Date Phương TâmSự mô tả profileLỗi đọc, ghi, xoá, tạo: Tham số này kiểm soát số các xâm phạm truy nhập trong một khoảng thời gian cho trước (ví dụ 1 ngày), sử dụng event counter và mô hình thao tác. Nó có thể được định nghĩa cho những người sử dụng đơn, file đơn, hoặc cho các nhóm người sử dụng và các lớp file. Các profile người sử dụng đơn với một lớp chứa tất cả các file, sẽ có ích trong việc phát hiện những người sử dụng đang cố gắng lặp lại việc truy nhập vào các file ko hợp lệ. Các profile của file đơn, với tất cả các người sử dụng có thể giúp phát hiện những truy nhập không hợp pháp vào các file có độ nhạy cảm cao.Date Phương TâmSự mô tả profileProfile truy nhập CSDL Truy nhập CSDL cũng được coi như truy nhập file. Bởi vì trong thực tế trong các hệ thống CSDL quan hệ, mỗi quan hệ được lưu bên trong như một file riêng lẻ, truy nhập tới một quan hệ tương tự như truy nhập file. Tuy nhiên, các phép toán thì khác nhau trong một CSDL, 'retrieve', 'update', 'insert' và 'delete' truy nhập phải được xét cho các bản ghi trong quan hệ đó, và các chế độ 'create' và 'delete' cho toàn bộ quan hệ đó. Các phép toán 'retrieve' trong CSDL đó tương ứng với các phép toán 'đọc file'; 'update', 'insert' và 'delete' tương ứng với các phép toán 'ghi file'.Date Phương TâmSự mô tả profileProfile truy nhập CSDLNếu chức năng kiểm toán được thực hiện ở mức quan hệ, thì các profile được sử dụng để kiểm soát hoạt động của file, có thể được sử dụng để kiểm soát hoạt động của CSDL. Nếu việc kiểm toán được thực hiện ở mức thấp hơn (ví dụ, các bản ghi đơn), khi đó các nguyên lý tương tự có thể được áp dụng tới các file, nhưng DBMS đó phải được cung cấp hỗ trợ trong việc tạo ra dữ liệu kiểm toán ở mức bản ghi. Một hệ thống phát hiện xâm nhập ở mức bản ghi thì thường không khả thi. Với một số hệ thống, cần kiểm soát đầy đủ ở mức 'CSDL', mà không cần phân tích CSDL thành các file cấu thành của nó.Date Phương TâmSự mô tả profileProfile truy nhập CSDL Sử dụng một CSDL và một tập tiến trình, IDES kiểm soát:Các tấn công xâm nhập.Giả mạo.Xâm nhập hệ thống bằng những người sử dụng bên ngoài.Các tấn công suy diễn và gộp.Các kênh truyền thông tin: hai loại kênh chuyển đổi được kiểm soát: các kênh bộ nhớ, có thể liên quan đến sự bão hoà tài nguyên và các điều kiện ngoại lệ; và các kênh thời gian (dẫn tới việc suy diễn sử dụng các đặc tính thời gian hệ thống)Từ chối dịch vụ.Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác yêu cầu kiểm toán của TCSEC chỉ rõ: một tập các sự kiện (có thể đếm được) cần được xác định rõ và mỗi sự kiện phải liên quan đến một người sử dụng và được ghi lại trong audit log - nhật ký kiểm toán có bảo vệ, cùng với ngữ cảnh phù hợp của sự kiện đó (proper event context), chẳng hạn như ID của người sử dụng, ngày, giờ, kiểu sự kiện, v.v. File nhật ký kiểm toán đặc biệt cần thiết khi thiếu các biện pháp an toàn. Việc sử dụng hiệu quả cơ chế kiểm toán cũng có thể phát hiện ra các thiếu sót và các điểm yếu trong hệ thống. Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác câu hỏi chính cần được nhận diện: Khối dữ liệu kiểm toán (Audit data volume): Các khối dữ liệu lớn ảnh hưởng như thế nào đến hiệu năng và hoạt động của các hệ thống TDBMS? Tính nhạy cảm của ứng dụng (Application sensitivity): Trong các hệ thống tin cậy, việc ghi lại các sự kiện là một chức năng của chính sách kiểm soát truy nhập, đúng hơn là một chức năng của ứng dụng. Điều đó lý giải tại sao người ta mong muốn chức năng kiểm toán của TDBMS có thể tương thích với các ứng dụng (ví dụ, để đảm bảo tính toàn vẹn hoặc bí mật)?Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác câu hỏi chính cần được nhận diện: Nhật ký kiểm toán và nhật ký giao tác (audit log and transaction log): Hầu hết các DBMS thương mại ghi lại các sự kiện "sửa đổi" trong CSDL, transacion log thường xuyên được sử dụng để lưu giữ thông tin về tình trạng hỏng hóc của CSDL, hoặc để nhận dạng nguồn của các sửa đổi trên CSDL. Audit log và transaction log có thể đáp ứng phần nào trong chức năng kiểm toán an toàn?Thực tế và sự đảm bảo (Verisimilitude and assurance): Quan hệ nào tồn tại giữa các sự kiện (có thể ghi lại được) trên một TDBMS và những gì xảy ra thực tế trên hệ thống? Ví dụ, câu truy vấn được ghi lại trước khi thực hiện, nhưng sau khi thực hiện xong câu truy vấn này, có nên kết thúc ghi? Có thể trả lại dữ liệu cho người đưa ra câu truy vấn mà vẫn đảm bảo được tính tương thích về mặt ngữ nghĩa của câu truy vấn? Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyKhi kiểm toán trên các hệ thống tin cậy, các yêu cầu của TCSEC là ghi lại các quyết định dàn xếp truy nhập. Ban đầu, các yêu cầu của TCSEC hướng kiểm toán trên các hệ thống tin cậy, với mối quan tâm chủ yếu là toàn vẹn dữ liệu. Sau đó, chúng được mở rộng cho các hệ thống TDBMS liên quan tới một số vấn đề, chẳng hạn như các kiểm soát truy nhập phức tạp, các điểm yếu bổ sung, độ chi tiết và volume cao hơn, các đối tượng truy nhập và lạm dụng quyền (trong nhiều TDBMS, việc lạm dụng quyền do những người sử dụng hợp pháp gây ra có thể dẫn đến rủi ro cao hơn, so với việc lạm dụng quyền do những người sử dụng trái phép gây ra). Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác kết quả nghiên cứuCác mục tiêu của kiểm toán phụ thuộc phần lớn vào ứng dụng, chính sách an toàn và các hiểm hoạ môi trường. Tuy nhiên, khả năng lấy dữ liệu để sử dụng khi kiểm toán có thể bị hạn chế trong kiến trúc của TDBMS. Điều này có nghĩa là chính sách và ứng dụng quyết định những gì nên được kiểm toán, trong khi đó kiến trúc hệ thống quyết định những gì có thể kiểm toán. Một số sản phẩm TDBMS cung cấp dữ liệu kiểm toán. Dữ liệu này thích hợp hơn so với dữ liệu được OS của máy chủ tập hợp. Hơn nữa, nhiều dữ liệu giao tác được tập hợp, nhưng chỉ có một số ít trong đó được phân tích bởi vì thiếu các công cụ tự động. Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác kết quả nghiên cứuCác phân tích yêu cầu tập hợp dữ liệu và đảm bảo tính tương quan của dữ liệu kiểm toán trong các giai đoạn xử lý câu truy vấn. Người ta có thể áp dụng được điều này nếu việc dàn xếp truy nhập được thực hiện tại các mức kiến trúc và mức trừu tượng khác nhau, thông qua các cơ chế khác nhau. Kỹ thuật phát hiện xâm nhập được thể hiện rõ trong một số thành công khi sử dụng các vết kiểm toán OS và có thể mở rộng cho việc phân tích các vết kiểm toán TDBMS. Tuỳ thuộc vào "thực tế" của sự kiện được ghi trong các vết kiểm toán, câu hỏi nảy sinh là sự kiện được kiểm toán có thực sự xảy ra hay không. Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyQuản lý giao tác đặt ra các vấn đề xuất phát từ ảo tưởng: Các sự kiện xác định nào đó thực sự xảy ra trên CSDL, nhưng không phải như vậy. Điều này xảy ra khi một giao tác không được hoàn thành và DBMS phục hồi CSDL. Các vấn đề về tính bí mật cũng nảy sinh. Trong thực tế, trước khi được lưu giữ, một giao tác có thể thử các hoạt động ghi và đọc. Vì vậy, một vết kiểm toán đúng đắn có thể chứa profile của các sự kiện. Đây là các sự kiện đã xảy ra trong các giao tác bị huỷ bỏ. Nói cách khác, hệ thống kiểm toán phải phân biệt được các sự kiện kiểm toán, sự kiện nào là sự kiện được hoàn tất, với từng sự kiện thì thời gian tác động của nó ra sao. Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyNói chung khi DBMS không tin cậy được ghép thêm vào các kiến trúc hệ thống có OS tin cậy, khả năng thiết lập tùy thuộc vào các nguyên tắc được trình bày trong phần "Thiết kế CSDL an toàn", ở đây có hai vấn đề cơ bản liên quan đến kiểm toán:Nếu câu truy vấn được lấy ở dạng văn bản và được OS/TCB ghi lại trước khi chuyển tới DBMS back- end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa hình thức của câu truy vấn hay không?Nếu một phiên bản của câu truy vấn được phân tích cú pháp (hoặc tuân theo), OS/TCB lấy nó ra và ghi lại trước khi chuyển tới DBMS back-end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa học hình thức của câu truy vấn hoặc dạng được phân tích/tuân theo cú pháp của câu truy vấn hay không?Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyCác kiến trúc này không nhất thiết đưa chính sách truy nhập bắt buộc vào chương trình không tin cậy bất kỳ, do vậy các yêu cầu của TCSEC MAC nên được các kiến trúc này duy trì.Có thể phê chuẩn việc xoá các quan hệ/các CSDL, bằng cách chứng minh rằng câu truy vấn (lệnh của một người sử dụng) được chương trình tin cậy lấy ra, hoặc chứng minh rằng ở đây tồn tại một ánh xạ giữa đối tượng của CSDL và các đối tượng của OS, hoặc chứng minh rằng OS ghi lại quá trình tham gia của nó trong sự kiện xoá kết quả.Date Phương Tâm4.4 Kiểm toán trong hệ quản trị CSDL tin cậyĐộ chi tiết ánh xạ giữa các đối tượng của DBMS/OS cũng liên quan đến kiểm toán, tuỳ thuộc vào các dạng cập nhật khác, bao gồm cả yêu cầu tái sử dụng của đối tượng. Nếu OS/TCB phải bảo vệ các quan hệ cá nhân hoặc các bộ, nó có thể quyết định sửa đổi hoặc xoá câu truy vấn nào. Nói cách khác, chúng ta vẫn có thể nhận dạng được các thông tin thô mặc dù giá trị của nó cho các mục đích phân tích vẫn còn là một câu hỏi.Ở đây vẫn không có bằng chứng chứng tỏ rằng các ngữ nghĩa học đầy đủ của câu truy vấn có liên quan đến profile thực hiện của DBMS/OS hay không (đây là profile đã được lấy ra và ghi lại).Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhập Có hai xu hướng được tiếp cận phát hiện xâm nhập trong thời gian thực, đó là:Machine learning (ML)Công nghệ phần mềm Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhậpMachine learning (ML) Các công nghệ ML có thể được sử dụng trong các IDS để quan sát một hệ thống nào đó, 'tìm hiểu' nhằm xác định rõ các hoạt động 'thông thường', nhờ đó phát hiện ra các tình trạng không bình thường. Ứng dụng của các công nghệ ML đã được đề xuất và sử dụng trong một số nghiên cứu, ví dụ trong các hệ thống Windom & Sense. Bốn mảng sau đây của ML được coi là có tiềm năng lớn nhất cho các IDS: Concept learning, Clustering, Predictive learning, Extraction of features.Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhậpCông nghệ phần mềm Thông qua nhiều điểm yếu của hệ thống, kẻ xâm nhập có thể thu được hoặc mở rộng các đặc quyền truy nhập, đây được xem là các vấn đề trong phê chuẩn và kiểm tra phần mềm. Thậm chí, các điểm yếu trong hoạt động/quản trị cũng là các điểm yếu dễ bị tấn công cho dù hệ thống được thiết kế tốt nhất, nếu chúng không được thực hiện chính xác. Vì vậy, các công nghệ xây dựng và quản lý phần mềm tốt hơn (cho phép tránh và phát hiện ra những điểm yếu mà kẻ xâm nhập có thể lợi dụng) là một biện pháp bảo vệ, chống lại các tấn công xâm nhập. Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhậpCông nghệ phần mềm Có 3 kiểu điểm yếu (thông qua đó kẻ xâm nhập có thể gây ra các xâm nhập tiểm ẩn vào hệ thống) được nhận dạng như sau: Các điểm yếu về thiết kế (design flaws): Các điểm yếu này xuất phát từ việc hiểu sai các yêu cầu, hoặc thiết lập không đúng các đặc tả. Các kỹ thuật phê chuẩn và kiểm tra phần mềm là các biện pháp thích hợp. Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhậpCác lỗi thiết kế phổ biến bao gồm: phê chuẩn không đúng số lượng, kích cỡ hoặc địa chỉ của các đối số được cung cấp cho các lời gọi đặc quyền, sơ suất khi xử lý dữ liệu nhạy cảm trong bộ nhớ/các heap/thư mục dùng chung, báo cáo sai các điều kiện và các lỗi không bình thường, không đảm bảo khôi phục lỗi an toàn. Các tấn công dựa trên những vấn đề này có thể là đặc trưng (chúng ta có thể biết được một lớp các hệ thống có điểm yếu xác định nào đó), hoặc chung (một người nào đó cố gắng khám phá nếu tồn tại một điểm yếu). Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhập2. Các lỗi (faults): Các lỗi hoặc các con bọ sinh ra khi tạo ra các chương trình nhưng không thiết lập các đặc tả. Nhiều điểm yếu về an toàn do các con bọ gây ra, chẳng hạn như chọn lựa không đúng kiểu dữ liệu, sử dụng các tham số không chính xác, các lỗi đồng bộ, .v.v. Giám sát cũng có thể trợ giúp cho việc phát hiện các tấn công.Date Phương Tâm4.5 Các xu hướng chung trong phát hiện xâm nhập3. Các điểm yếu về hoạt động /quản trị (Operational/administrative flaws): Việc khởi tạo các giá trị không phù hợp hoặc không nhất quán cho các tham số có thể làm giảm độ an toàn của hệ thống. Hầu hết các điểm yếu đều là đặc trưng và phổ biến, vì vậy có thể nhận dạng được những kẻ xâm nhập (cố gắng lợi dụng các điểm yếu này), bằng cách giám sát các vùng chương trình nơi xuất hiện các điểm yếu. Date Phương Tâm