Đang tải... (xem toàn văn)
Giới thiệu Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như: + Xâm phạm tính toàn vẹn. + Từ chối dịch vụ. + Truy nhập trái phép. Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như: + Người dùng áp dụng các biện pháp này chưa đúng + Các kiểm soát an toàn làm giảm hiệu năng của hệ thống. + Những người dùng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra. Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người dùng hệ thống bất hợp pháp (tội phạm máy tính cracker) và những người dùng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (đe doạ bên trong). Ví dụ về các xâm phạm như: + Sửa đổi trái phép các tệp để có thể truy nhập vào dữ liệu. + Truy nhập hoặc sửa đổi trái phép các tệp người dùng và thông tin. + Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng). + Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có. Mô hình xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình xâm nhập. Hiện nay có hai kiểu mô hình xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System IDS) áp dụng là: Mô hình phát hiện tình trạng bất thường (Anomaly detection models): Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người dùng) một cách có thống kê với các tham số trong phiên làm việc của người dùng hiện tại. Các sai lệch đáng kể so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra). Mô hình phát hiện sự lạm dụng (Misuse detection models): Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người dùng với các mẫu tấn công đã có, được lưu trong hệ thống.. Cơ chế làm việc dựa vào kiểm toán: các IDS kiểm soát hành vi của người dùng trong hệ thống bằng cách theo dõi các yêu cầu mà người dùng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó. + Nhược điểm: trong các hệ thống kiểm toán truyền thống, các kiểm soát kiểm toán rất phức tạp và được tiến hành sau cùng, đồng thời việc kiểm toán được thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất nhiều khả năng làm việc của hệ thống. Dẫn đến các kiểm soát kiểm toán này không được tiến hành thường xuyên. Kết quả là các tấn công vào hệ thống không được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đã xảy ra được một thời gian khá lâu. => Cần cung cấp các công cụ và các hệ thống sao cho việc kiểm tra dữ liệu kiểm toán xảy ra một cách tự động hoặc bán tự động, cố gắng phát hiện ra các xâm phạm trực tuyến, thời gian thực. (Chú ý: việc kiểm toán thực hiện thủ công, có nghĩa là các chuyên gia an ninh phải xem xét các vết kiểm toán, nếu thấy đáng nghi thì mới có thể phát hiện ra tấn công. Nhưng với các công cụ kiểm toán tự động, nó có thể kiểm tra các vết kiểm toán để xác định là có tấn công hay không và báo về cho chuyên gia an ninh).
CHƯƠNG PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP 5.1 Giới thiệu - Mục đích biện pháp phát xâm nhập máy tính phát loại xâm phạm an toàn như: + Xâm phạm tính toàn vẹn + Từ chối dịch vụ + Truy nhập trái phép - Khó khăn: nảy sinh số vấn đề làm hạn chế hiệu biện pháp phát xâm nhập này, như: + Người dùng áp dụng biện pháp chưa + Các kiểm soát an toàn làm giảm hiệu hệ thống + Những người dùng hợp pháp lạm dụng quyền điểm yếu mà biện pháp phát xâm nhập chưa phát - Phát xâm nhập khả nhận dạng xâm nhập cá nhân gây ra, bao gồm: người dùng hệ thống bất hợp pháp ('tội phạm máy tính' cracker) người dùng hợp pháp lại lạm dụng đặc quyền ('đe doạ bên trong') - Ví dụ xâm phạm như: + Sửa đổi trái phép tệp để truy nhập vào liệu + Truy nhập sửa đổi trái phép tệp người dùng thông tin + Sửa đổi trái phép bảng hệ thống (chẳng hạn sửa đổi bảng định tuyến để chối bỏ sử dụng mạng) + Tạo account trái phép sử dụng trái phép account có - Mô hình xâm nhập: Khả phát xâm nhập máy tính phụ thuộc vào xuất mô hình xâm nhập Hiện có hai kiểu mô hình xâm nhập hệ thống phát xâm nhập (Intrusion Detection System - IDS) áp dụng là: 160 Mô hình phát tình trạng bất thường (Anomaly detection models): Các mô hình cho phép so sánh profile (trong có lưu hành vi bình thường người dùng) cách có thống kê với tham số phiên làm việc người dùng Các sai lệch 'đáng kể' so với hành vi bình thường hệ thống IDS báo cáo lại cho chuyên gia an ninh, sai lệch đo ngưỡng (do mô hình xác định chuyên gia an ninh đặt ra) Mô hình phát lạm dụng (Misuse detection models): Mô hình trợ giúp việc so sánh tham số phiên làm việc người dùng với mẫu công có, lưu hệ thống - Cơ chế làm việc dựa vào kiểm toán: IDS kiểm soát hành vi người dùng hệ thống cách theo dõi yêu cầu mà người dùng thực ghi chúng vào vết kiểm toán thích hợp Sau phân tích vết kiểm toán để phát dấu hiệu đáng nghi yêu cầu + Nhược điểm: hệ thống kiểm toán truyền thống, kiểm soát kiểm toán phức tạp tiến hành sau cùng, đồng thời việc kiểm toán thực thủ công với khối lượng lớn liệu kiểm toán, hạn chế nhiều khả làm việc hệ thống Dẫn đến kiểm soát kiểm toán không tiến hành thường xuyên Kết công vào hệ thống không phát thường xuyên, phát sau chúng xảy thời gian lâu => Cần cung cấp công cụ hệ thống cho việc kiểm tra liệu kiểm toán xảy cách tự động bán tự động, cố gắng phát xâm phạm trực tuyến, thời gian thực (Chú ý: việc kiểm toán thực thủ công, có nghĩa chuyên gia an ninh phải xem xét vết kiểm toán, thấy đáng nghi phát công Nhưng với công cụ kiểm toán tự động, kiểm tra vết kiểm toán để xác định có công hay không báo cho chuyên gia an ninh) 161 - Một số IDS: + Các IDS dựa vào việc phân tích vết kiểm toán hệ điều hành (OS) đưa ra, ví dụ IDES (hệ chuyên gia phát xâm nhập) SRI + MIDAS Trung tâm an ninh quốc gia + Haystack System Thư viện Haystack + Wisdom & Sense thư viện quốc gia Alamos 5.2 Các công cụ tự động phát xâm nhập - Các hệ thống phát xâm nhập (IDS) sử dụng kết hợp với kiểm soát truy nhập, nhằm phát xâm phạm cố gắng xâm phạm xảy Hình 5.1 minh hoạ kiến trúc IDS Vết kiểm toán (Audit trail) CSDL mẫu công Nhân viên an ninh (Security officer) Phát bất thường (Anomaly detection) Phân tích lạm dụng (Misuse analysis) Mức nghi ngờ (Suspicion level) Hình 5.1 Kiến trúc IDS 162 CSDL profile Phân tích bất thường Tiền xử lý So sánh mẫu Cảnh báo - Khi phân tích an toàn liệu kiểm toán, mục đích công cụ tự động giảm khối lượng liệu kiểm toán xem xét cách thủ công Các công cụ đưa chứng cố gắng xâm phạm an toàn hệ thống trực tuyến ngoại tuyến - Sử dụng liệu kiểm toán, ta phân loại đe doạ xảy với hệ thống như: đối tượng xâm nhập bên ngoài, xâm nhập bên đối tượng lạm dụng quyền gây + Trong số đối tượng xâm nhập bên trong, nguy hiểm ‘người dùng bí mật’ định nghĩa người tránh kiểm soát truy nhập kiểm toán, cách sử dụng đặc quyền hệ thống, hoạt động mức thấp mức kiểm toán => Chúng ta giải tình trạng cách: + Giảm mức kiểm toán xuống thấp (Ví dụ, mức kiểm toán đến mức file, bảng CSDL, ta giảm xuống mức ghi, mức cột, mức phần tử ) 163 + Định nghĩa mẫu sử dụng thông thường tham số hệ thống (như hoạt động CPU, nhớ sử dụng ổ đĩa) so sánh chúng giá trị thực trình sử dụng hệ thống - Từ vết kiểm toán ghi lại được, IDS tiến hành số kiểu phân tích sau: số chương trình so sánh hoạt động người dùng với profile (phát bất thường), số chương trình khác tiến hành so sánh với phương pháp công biết (phát lạm dụng) số chương trình tiến hành hai - Hoạt động IDS: + Các IDS chấp nhận ghi kiểm toán từ (hoặc số) máy chủ (host) + Trích lọc đặc điểm liên quan đến phân tích tạo profile có lưu hoạt động + So sánh với CSDL bên máy chủ Nếu CSDL CSDL cho phát bất thường việc so sánh mang tính chất thống kê, CSDL lạm dụng tiến hành đối chiếu mẫu so sánh + Cuối cùng, IDS sử dụng phương pháp so sánh như: suy diễn, phân tích dự báo, phương pháp xấp xỉ khác => Kết phân tích thu được: + Có thể lưu giữ CSDL IDS + Được dùng để sửa đổi ghi kiểm toán, cách bổ sung thêm/xoá bỏ số đặc điểm, chuyển cho phận phân tích hệ thống, nhờ IDS kiểm soát tình hình Chúng ta làm điều cách kiểm soát đặc điểm sử dụng phân tích, có nghĩa tuân theo mô hình hành vi - Một hướng tiếp cận (đã đề xuất từ lâu) đưa cửa sập (trapdoors) vào hệ thống để đối phó lại kẻ xâm nhập - Một hướng tiếp cận phổ biến xác định quy tắc Chúng định nghĩa mẫu hành vi cho lớp người dùng Thông qua hướng tiếp cận này, người ta phát triển IDS chuyên gia Thông thường, phân tích trợ giúp kết hợp kiến thức chuyên gia (về vấn đề 164 an toàn) với khả xử lý xác kết hợp khối lượng lớn liệu hệ thống: tốc độ xử lý trợ giúp hệ thống tự động việc kiểm toán hoạt động đáng ngờ để phát ngừng hoạt động đó, đảm bảo biện pháp phòng thủ cách tự trị (ví dụ, không cho kẻ xâm nhập tiến hành đăng nhập) Hạn chế hướng tiếp cận dựa vào quy tắc liệu kiểm toán tìm kiếm cho công biết, nhiều xâm nhập xảy theo chế độ chưa biết Hơn nữa, việc viết quy tắc phức tạp, đồng thời việc trì khó khăn - Một hướng tiếp cận sử dụng mô hình dựa vào lập luận (model-based reasoning) Đây mô hình dựa vào giả thiết, kẻ xâm nhập sử dụng thủ tục đặc thù để công vào hệ thống, chẳng hạn công mật hệ thống truy nhập vào tệp đặc quyền Hệ thống phát xâm nhập suy luận, lấy mô hình làm sở, có nghĩa hệ thống tìm kiếm kẻ xâm nhập cách tìm kiếm hoạt động nằm kịch công giả thiết từ trước Các kịch biến đổi tuỳ thuộc vào kiểu hệ thống kẻ xâm nhập Lợi ích mô hình dựa vào lập luận việc phát xâm nhập khả chọn lọc liệu kiểm toán nó: liệu liên quan tập trung lại, giảm bớt số lượng liệu mang xem xét Tuy nhiên, tuân theo hoạt động ngăn ngừa chống xâm nhập, hệ thống có khả dự báo Với hệ chuyên gia, hướng tiếp cận bị hạn chế, tìm kiếm kịch xâm nhập biết, tồn nhiều điểm yếu công trước Do vậy, cần nghiên cứu kết hợp mô hình dựa vào lập luận với việc phát không bình thường mang tính thống kê Còn nhiều hướng tiếp cận khác (không dựa vào nghi ngờ) định nghĩa hành vi chấp nhận Các dự án gần khai thác khả mạng thần kinh để đối phó lại công xâm nhập Mạng thần kinh giải vấn đề phương pháp thống kê Hiện nay, có nhiều triển vọng hướng tiếp cận không phát triển thích đáng để thay thành phần thống kê nằm nguyên mẫu có 165 - Với xâm nhập đặc biệt (như virus) xâm nhập nói chung, hệ thống có phân loại thành: + Các giám sát xuất (appearance monitors): Bộ giám sát xuất công cụ phân tích tĩnh, sử dụng để phát không bình thường tệp nguồn tệp thực + Các giám sát hành vi (behaviour monitors) Bộ giám sát hành vi tự động xem xét hành vi tiến trình có hoạt động nguy hiểm xảy Theo phân loại này, IDES giám sát hành vi thời gian thực, nhận dạng tập tham số kiểm toán, thiết lập hệ thống profile người dùng 5.3 Hướng tiếp cận dựa vào hệ chuyên gia - hệ thống IDES Sau lý lý giải người ta sử dụng hệ chuyên gia phát xâm phạm: • Nhiều hệ thống tồn có điểm yếu an toàn, đe doạ xâm nhập xảy Người ta thường khó xác định xác loại trừ điểm yếu này, lý kỹ thuật kinh tế • Việc thay hệ thống tồn (với điểm yếu biết) hệ thống an toàn lại không dễ dàng, hệ thống thường phụ thuộc vào hệ thống ứng dụng, việc thay đòi hỏi nhiều nỗ lực lớn kỹ thuật kinh tế • Việc phát triển hệ thống an toàn tuyệt đối vô khó khăn, thường • Thậm chí, hệ thống an toàn cao điểm yếu dễ bị người dùng hợp pháp lạm dụng IDES hệ thống thời gian thực IDES giám sát đe doạ bên (người dùng cố gắng xâm nhập vào hệ thống) đe doạ bên (người dùng cố gắng lạm dụng quyền mình) 5.3.1 Cơ sở IDES sử dụng cách tiếp cận chuyên gia, cách giả thiết việc khai thác điểm yếu hệ thống hành vi xâm phạm gây dẫn đến việc sử dụng bất thường Do đó, việc quan sát hành vi người dùng, ta 166 phát hành vi bất thường cách định nghĩa hành vi bình thường, quy tắc đánh giá cho việc phát hành vi bất thường Các mối quan hệ hành vi đe dọa Các mối quan hệ loại xâm nhập hành vi bất thường IDES là: - Sự cố gắng xâm nhập: Nhiều lần cố gắng đăng nhập sử dụng mật khác với account-id, sử dụng mật với nhiều tên account khác - Sự giả mạo: xâm nhập qua đăng nhập hợp pháp (nghĩa tên tài khoản mật lấy cắp chép được, chúng hợp lệ) sau sử dụng hệ thống khác mẫu thông thường (như: duyệt thư mục thay hành động bình thường: soạn thảo, biên dịch, liên kết,…) - Xâm nhập người dùng hợp pháp: người dùng hợp pháp cố gắng phá vỡ kiểm soát an toàn (họ sử dụng chương trình khác với bình thường chúng chạy) Nếu xâm nhập thành công, họ truy nhập vào file lệnh (bình thường bị cấm), thể hành vi bất thường - Sự truyền bá liệu người dùngh hợp pháp: người dùng cố gắng truy nhập vào liệu nhạy cảm cách đăng nhập thời điểm khác thường, cách viết theo kiểu khác thường (nhiều lần thực đọc), sử dụng máy in từ xa, sinh nhiều bình thường - Suy diễn người dùng hợp pháp: lấy liệu bí mật cách gộp suy diến - Con ngựa thành Troa: đoạn chương trình chèn vào thay chương trình, thay đổi tốc độ sử dụng CPU, nhớ, thiết bị … - Virus: - DOS Phân tích hành vi bất thường Việc định nghĩa mô hình phát xâm nhập cần yêu cầu định nghĩa profile quy tắc Nói riêng, việc định nghĩa profiles dùng thuật ngữ metrics mô hình thống kê (statistical models) Một metric 167 biến ngẫu nhiên x thể lượng vượt khoảng thời gian quan sát cho trước (hoặc khoảng thời gian cố định, khoảng thời gian kiện tương quan) Sự quan sát theo dõi hành động người dùng, hành động điểm mẫu xi x sử dụng mô hình thống kê để xác định xem biến quan sát có coi ‘bình thường’ hay không Mô hình thống kê độc lập với phân phối x, tất hiểu biết x đạt từ biến quan sát Sau ta tìm hiểu metrics mô hình thống kê để phân tích hành vi bất thường Metrics Các metrics thể cách thức nhóm biến quan sát đơn lẻ hành vi người dùng để tạo profile liên quan đến hành vi người dùng Một số metric sử dụng như: - Event Counter (bộ đếm kiện): x số kiện liên quan đến khoảng thời gian cho trước, khoảng thời gian thỏa mãn thuộc tính cho Ví dụ, x mô tả số lần đăng nhập giờ, số lần lệnh cụ thể thực phiên làm việc, số lượng mật sai phút, hay số lương truy nhập trái phép vào file ngày - Time interval: x khoảng thời gian hai kiện liên quan: ví dụ khoảng thời gian hai lần đăng nhập liên tiếp liên quan đến tài khoản đơn lẻ - Resource measurement: x lượng tài nguyên sử dụng hoạt động hệ thống khoảng thời gian cho: ví dụ, tổng số trang in người dùng ngày, tổng thời gian CPU chương trình chạy, hay số lượng ghi đọc ngày Chú ý Resource measurement thuộc kiểu event counter hay time interval, ví dụ số lương trang in event counter Mô hình thống kê – statistical models Với metric cho biến ngẫu nhiên x n biến quan sát x1, x2, ,xn, mục đích mô hình thống kê x để xác định xem có biến quan sát xn+1 so sánh bất thường với biến trước Một số mô hình thống kê sử dụng cho mục đích là: 168 - Operational model – mô hình thao tác: Mô hình giả thiết bất thường xác định cách so sánh biến quan sát x với giới hạn cố định Giới hạn cố định tính nhờ biến quan sát trước x Mô hình áp dụng với metric để giá trị ngưỡng tồn liên quan đến xâm nhập Ví dụ, lần đăng nhập sai bị nghi ngờ dạng đe dọa xâm nhập, hay truy nhập thực cách đăng nhập tài khoản không sử dụng tháng coi xâm nhập - Mô hình độ lệch trung bình độ lệch chuẩn: mô hình dựa vào giả thiết biến quan sát xem ‘bình thường’ nằm khoảng tin cậy: avg ± d × stdev avg độ lệnh chuẩn stdev: avg = x1 + + x n n stdev = ( x12 + + x n2 − avg ) n −1 d tham số Mô hình áp dụng với tất metrics mô tả trước Thuận lợi hiểu biết ban đầu hoạt động bình thường người dùng yêu cầu, thay đó, mô hình ‘học’ từ biến quan sát dễ dàng so sánh người dùng, ‘bình thường’ với người dùng ‘khác thường’ với người dùng khác - Multivaried model – Mô hình tương tự với mô hình trên, trừ thực tế dựa vào tương quan hai hai metric Mô hình - Markovian model: mô hình xét kiểu kiện (yêu cầu người dùng) biến trạng thái, sử dụng ma trận chuyển đổi trạng thái để mô tả tần suất biến đổi trạng thái Một biến quan sát gọi 'bình thường' xác suất xác định trạng thái trước ma trận chuỷên đổi, cao Mô hình áp dụng cho metric event counter, hữu ích việc kiểm soát biến đổi lệnh cho, chuỗi lệnh liên quan đến 169 - Time series model: Mô hình sử dụng hai event counter measurement of resource interval metric, xác định thứ tự khoảng thời gian xảy biến quan sát giá trị biến quan sát Một biến quan sát gọi 'bất thường' xác suất xuất thấp Thuận lợi mô hình cho phép đánh giá hành vi người dùng Nhưng bất lợi chii phí cao Sự mô tả profile Một số profile sử dụng để so sánh hành vi thực người dùng mô tả profile Mỗi profile sử dụng metric mô hình thống kê Các profile xác định với chủ thể thực hành động, xác định đối tượng nơi hành động thực hiện, xác định loại hành động profile hành vi xác định cho chủ thể đối tượng, cho lớp chủ thể/đối tượng Hình sau tất kết nối chủ thể/đối tượng kiểm soát Trong hình này, system nghĩa hành động chủ thể đối tượng hệ thống xem xét; subject nghĩa hành động tạo chủ thể cho đối tượng hệ thống xét; object nghĩa hành động chủ thể đối tượng cho xét System Subject class Object class Subject class - Object class Subject Object Subject - Object class Subject class- Object 170 Subject - Object Hình Hệ phân cấp phần tử mà profile hành vi định nghĩa Các profile hoạt động đăng nhập phiên làm việc Các profile ghi hành động thực chủ thể (người dùng) đối tượng hiển thị site đăng nhập người dùng (các site máy đầu cuối, máy trạm, mạng, máy chủ từ xa, ) Các profile mô tả cụ thể thuật ngữ sau: - Tần số đăng nhập: profile kiểm soát tần số đăng nhập cách sử dụng metric event counter mô hình thống kê độ lệch trung bình/chuẩn Bởi hành vi người dùng thay đổi đáng kể suốt trình làm việc tuần, kiện đăng nhập biểu diễn vector kiện tham số hoá, với ý đến ngày tuần (được xét ngày cụ thể, phân biệt ngày làm việc ngày cuối tuần) ý đến khoảng thời gian ngày (thời gian, quay vòng, sáng/chiều, tối/đêm) Các profile dựa vào đăng nhập sử dụng để phát người dùng kết nối qua số tài khoản không hợp lệ suốt làm việc Các profile đăng nhập định nghĩa cho người dùng đơn lẻ (hoặc nhóm người dùng), lớp đối tượng tạo thành theo kiểu vị trí, kiểu kết nối - Tần số vị trí: tham số kiểm soát tần số đăng nhập từ site khác nhau, cách sử dụng event counter mô hình độ lệch trung bình/ chuẩn Một số phương pháp liên quan đến profile xét cách riêng biệt, theo ngày tuần khoảng thời gian ngày; người dùng kết nối từ vị trí suốt làm việc từ vị trí khác làm việc Việc phân tích tần số vị trí có ích việc xác định xâm nhập, ví dụ trường hợp người đăng nhập vào hệ 171 thống qua tài khoản cụ thể từ vị trí người dùng hợp lệ sử dụng Đồng thời cho phép nhận xâm phạm người dùng hợp lệ Đồng thời phát xâm nhập từ người dùng làm việc máy đầu cuối không quyền, lại kết nối từ máy có đặc quyền - Đăng nhập lần cuối: profile kiểm soát thời gian trôi qua từ lần đăng nhập cuối cùng, sử dụng metric time interval mô hình thao tác Profile nên định nghĩa cho người dùng đơn lẻ lớp vị trí Không cần thiết định nghĩa profile cho site đơn lẻ, vị trí xác không liên quan - Session duration- khoảng thời gian phiên làm việc: Tham số kiểm soát khoảng thời gian phiên làm việc sử dụng metric time interval mô hình độ lệch trung bình/chuẩn Profile định nghĩa cho người dùng đơn lẻ nhóm người dùng, nên định nghĩa cho lớp đối tượng Độ lệch so với hành vi chuẩn đánh dấu công - Session output: tham số kiểm soát số lượng đầu sinh tư máy đầu cuối, phiên làm việc ngày, sử dụng metric đếm tài nguyên mô hình độ lệch trung bình/chuẩn Định nghĩa profile cho site riêng lớp vị trí có ích việc xác định tải liệu truyền tới vị trí xa, coi hành động không hợp lệ truyền liệu nhạy cảm - CPU per session, I/O per session, pages per session, tham số kiểm soát việc sử dụng tài nguyên phiên làm việc sử dụng metric đánh giá tài nguyên mô hình độ lệch trung bình/chuẩn.Các profile hữu ích việc xác định xâm nhập - Lỗi mật khẩu: profile kiểm soát số mật lỗi liên quan đến đăng nhập cho sử dụng metric event counter mô hình thao tác Profile có ích để phát xâm nhập với người dùng đơn lẻ tất người dùng hệ thống - Lỗi vị trí: phần tử kiểm soát lỗi đăng nhập sử dụng event counter mô hình thao tác Profile định nghĩa cho người dùng dơn cho nhóm vị trí Các nhóm vị trí xét site cụ thể 172 không liên quan đến mục đích kiểm soát, ngược lại thực tế vị trí không hợp lệ lại có ý nghĩa Profile sử dụng để xác định cố gắng xâm nhập cố gắng kết nối từ máy đặc quyền Các profile truy nhập file Các profile truy nhập file xét phép toán 'read', 'write', 'delete' 'append' thực file Các file phân loại theo kiểu file (text, file thực thi, thư mục, ) theo người dùng chúng file hệ thống, đặc tính khác Một chương trình file Số file hệ thống cao, kiểm soát cho file Tuy nhiên, file liên quan đến bảo mật kiểm soát riêng, ví dụ file mật khẩu, file chứa quyền, chứa liệu kiểm toán bảng định tuyến mạng Các profile truy nhập file xác định với: - Tần số read, write, delete: tham số kiểm soát số lượng truy nhập kiểu chế độ truy nhập Profile tần số truy nhập với phép toán 'đọc'/'ghi' xác định cho người dùng đơn lẻ file cho lớp người dùng hay lớp file Các profile cho phép toán 'create'/'delete' có nghĩa với việc gộp file, file tạo bị xoá nhiều lần Sự bất thường truy nhập 'đọc'/'ghi' người dùng đơn lẻ thể công - Các ghi read/written: tham số kiểm soát số lượng ghi đọc/được ghi sử dụng metric đánh giá trài nguyên mô hình độ lệch trung bình/chuẩn Các profile đánh giá cho truy nhập ngày Chúng định nghĩa cho người dùng đơn, file đơn cho lớp người dùng, lớp file Sự bất thường báo hiệu cố gắng để đạt liệu nhạy cảm qua trình suy diễn gộp (ví dụ, yêu cầu số lượng lớn liệu tương quan nhau) - Lỗi đọc, ghi, xoá, tạo: Tham số kiểm soát số xâm phạm truy nhập khoảng thời gian cho trước (ví dụ ngày), sử dụng event counter mô hình thao tác Nó định nghĩa cho người dùng đơn, file đơn, cho nhóm người dùng lớp file Các profile người dùng đơn với lớp chứa tất file, có ích việc phát người dùng 173 cố gắng lặp lại việc truy nhập vào file ko hợp lệ Các profile file đơn, với tất người dùng giúp phát truy nhập không hợp pháp vào file có độ nhạy cảm cao Profile truy nhập CSDL Truy nhập CSDL coi truy nhập file Bởi thực tế hệ thống CSDL quan hệ, quan hệ lưu trongnhư file riêng lẻ, truy nhập tới quan hệ tương tự truy nhập file Tuy nhiên, phép toán khác CSDL, 'retrieve', 'update', 'insert' 'delete' truy nhập phải xét cho ghi quan hệ đó, chế độ 'create' 'delete' cho toàn quan hệ Các phép toán 'retrieve' CSDL tương ứng với phép toán 'đọc file'; 'update', 'insert' 'delete' tương ứng với phép toán 'ghi file' Nếu chức kiểm toán thực mức quan hệ, profile sử dụng để kiểm soát hoạt động file, sử dụng để kiểm soát hoạt động CSDL Nếu việc kiểm toán thực mức thấp (ví dụ, ghi đơn), nguyên lý tương tự áp dụng tới file, DBMS phải cung cấp hỗ trợ việc tạo liệu kiểm toán mức ghi Một hệ thống phát xâm nhập mức ghi thường không khả thi Với số hệ thống, cần kiểm soát đầy đủ mức 'CSDL', mà không cần phân tích CSDL thành file cấu thành Sử dụng CSDL tập tiến trình, IDES kiểm soát: - Các công xâm nhập - Giả mạo - Xâm nhập hệ thống người dùng bên - Các công suy diễn gộp - Các kênh truyền thông tin: hai loại kênh chuyển đổi kiểm soát: kênh nhớ, liên quan đến bão hoà tài nguyên điều kiện ngoại lệ; kênh thời gian (dẫn tới việc suy diễn sử dụng đặc tính thời gian hệ thống) - Từ chối dịch vụ 5.3.2 Mô hình IDES Mô hình an toàn IDES bao gồm phần tử sau: (hình 5.3): Subject: 174 5.4 Kiểm toán hệ thống quản trị CSDL tin cậy (TDBMS) - Các yêu cầu kiểm toán TCSEC rõ: tập kiện (có thể đếm được) cần xác định rõ kiện phải liên quan đến người dùng ghi lại audit log - nhật ký kiểm toán có bảo vệ, với ngữ cảnh phù hợp kiện (proper event context), chẳng hạn ID người dùng, ngày, giờ, kiểu kiện, v.v - Audit log đặc biệt cần thiết thiếu biện pháp an toàn Việc sử dụng hiệu chế kiểm toán phát thiếu sót điểm yếu hệ thống - Sau câu hỏi cần nhận diện: Volume liệu kiểm toán (Audit data volume): Các volume liệu lớn ảnh hưởng đến hiệu hoạt động hệ thống TDBMS? Tính nhạy cảm ứng dụng (Application sensitivity): Trong hệ thống tin cậy, việc ghi lại kiện chức sách kiểm soát truy nhập, chức ứng dụng Điều lý giải người ta mong muốn chức kiểm toán TDBMS tương thích với ứng dụng (ví dụ, để đảm bảo tính toàn vẹn bí mật)? Nhật ký kiểm toán nhật ký giao tác (audit log and transaction log): Hầu hết DBMS thương mại ghi lại kiện "sửa đổi" CSDL, transacion log thường xuyên sử dụng để lưu giữ thông tin tình trạng hỏng hóc CSDL, để nhận dạng nguồn sửa đổi CSDL Audit log transaction log đáp ứng phần chức kiểm toán an toàn? 175 Thực tế đảm bảo (Verisimilitude and assurance): Quan hệ tồn kiện (có thể ghi lại được) TDBMS xảy thực tế hệ thống? Ví dụ, câu truy vấn ghi lại trước thực hiện, sau thực xong câu truy vấn này, có nên kết thúc ghi? Có thể trả lại liệu cho người đưa câu truy vấn mà đảm bảo tính tương thích mặt ngữ nghĩa câu truy vấn? Khi kiểm toán hệ thống tin cậy, yêu cầu TCSEC ghi lại định dàn xếp truy nhập Ban đầu, yêu cầu TCSEC hướng kiểm toán hệ thống tin cậy, với mối quan tâm chủ yếu toàn vẹn liệu Sau đó, chúng mở rộng cho hệ thống TDBMS liên quan tới số vấn đề, chẳng hạn kiểm soát truy nhập phức tạp, điểm yếu bổ sung, độ chi tiết volume cao hơn, đối tượng truy nhập lạm dụng quyền (trong nhiều TDBMS, việc lạm dụng quyền người dùng hợp pháp gây dẫn đến rủi ro cao hơn, so với việc lạm dụng quyền người dùng trái phép gây ra) Các kết nghiên cứu Sau kết nghiên cứu bản: Các mục tiêu kiểm toán phụ thuộc phần lớn vào ứng dụng, sách an toàn hiểm hoạ môi trường Tuy nhiên, khả lấy liệu để sử dụng kiểm toán bị hạn chế kiến trúc TDBMS Điều có nghĩa sách ứng dụng định nên kiểm toán, kiến trúc hệ thống định kiểm toán Một số sản phẩm TDBMS cung cấp liệu kiểm toán Dữ liệu thích hợp so với liệu OS máy chủ tập hợp Hơn nữa, nhiều liệu giao tác tập hợp, có số phân tích thiếu công cụ tự động Các phân tích yêu cầu tập hợp liệu đảm bảo tính tương quan liệu kiểm toán giai đoạn xử lý câu truy vấn Người ta áp dụng điều việc dàn xếp truy nhập thực mức kiến trúc mức trừu tượng khác nhau, thông qua chế khác 176 Kỹ thuật phát xâm nhập thể rõ số thành công sử dụng vết kiểm toán OS mở rộng cho việc phân tích vết kiểm toán TDBMS Tuỳ thuộc vào "thực tế" kiện ghi vết kiểm toán, câu hỏi nảy sinh kiện kiểm toán có thực xảy hay không Quản lý giao tác đặt vấn đề xuất phát từ ảo tưởng: kiện xác định thực xảy CSDL, Điều xảy giao tác không hoàn thành DBMS phục hồi CSDL Các vấn đề tính bí mật nảy sinh Trong thực tế, trước lưu giữ, giao tác thử hoạt động ghi đọc Vì vậy, vết kiểm toán đắn chứa profile kiện Đây kiện xảy giao tác bị huỷ bỏ Nói cách khác, hệ thống kiểm toán phải phân biệt kiện kiểm toán, kiện kiện hoàn tất, với kiện thời gian tác động Ví dụ, chế quản lý giao tác dừng huỷ bỏ tác động phép thử ghi để đáp ứng kiện sau Vì vậy, sử dụng công cụ phân tích kiểm toán để làm sáng tỏ kiện truy nhập trình tự chúng phạm vi kiện hoàn tất giao tác Khi kiểm toán, nhà phát triển DBMS mang nhiều hướng tiếp cận khác vào chế chọn lựa, tuỳ thuộc vào công cụ dự định sử dụng xử lý liệu kiểm toán (các công cụ OS DBMS) Các thương nhân thường thiết lập vết kiểm toán bảng từ điển liệu, sử dụng SQL để lấy lại phân tích liệu kiểm toán Nói chung DBMS back- end không tin cậy ghép thêm vào kiến trúc hệ thống có OS tin cậy, khả thiết lập tùy thuộc vào nguyên tắc trình bày phần "Thiết kế CSDL an toàn", có hai vấn đề liên quan đến kiểm toán: 1) Nếu câu truy vấn lấy dạng văn OS/TCB ghi lại trước chuyển tới DBMS back- end, người ta làm để xác định: đáp ứng DBMS liệu trả lại có với ngữ nghĩa hình thức câu truy vấn hay không? 2) Nếu phiên câu truy vấn phân tích cú pháp (hoặc tuân theo), OS/TCB lấy ghi lại trước chuyển tới DBMS back177 end, người ta làm để xác định: đáp ứng DBMS liệu trả lại có với ngữ nghĩa học hình thức câu truy vấn dạng phân tích/tuân theo cú pháp câu truy vấn hay không? Hơn nữa, câu trả lời thoả mãn câu hỏi Thay vào đó, quan tâm đến khối kiến trúc an toàn DBMS, chí với DBMS không tin cậy, giải số vấn đề tồn kết khác • Các kiến trúc không thiết đưa sách truy nhập bắt buộc vào chương trình không tin cậy bất kỳ, yêu cầu TCSEC MAC nên kiến trúc trì • Có thể phê chuẩn việc xoá quan hệ/các CSDL, cách chứng minh câu truy vấn (lệnh người dùng) chương trình tin cậy lấy ra, chứng minh tồn ánh xạ đối tượng CSDL đối tượng OS, chứng minh OS ghi lại trình tham gia kiện xoá kết • Độ chi tiết ánh xạ đối tượng DBMS/OS liên quan đến kiểm toán, tuỳ thuộc vào dạng cập nhật khác, bao gồm yêu cầu tái sử dụng đối tượng Nếu OS/TCB phải bảo vệ quan hệ cá nhân bộ, định sửa đổi xoá câu truy vấn Nói cách khác, nhận dạng thông tin thô giá trị cho mục đích phân tích câu hỏi • Ở chứng chứng tỏ ngữ nghĩa học đầy đủ câu truy vấn có liên quan đến profile thực DBMS/OS hay không (đây profile lấy ghi lại) Tóm lại, kiểm toán tiện ích vô quan trọng truy nhập vào mức đảm bảo tin cậy kiến trúc an toàn hệ thống DBMS 5.5 Các xu hướng chung phát xâm nhập Một số chủ đề nghiên cứu kiểm toán số chủ đề có liên quan đến lĩnh vực (khác với an toàn máy tính) tiếp tục phát triển hứa hẹn cải thiện hướng tiếp cận phát xâm nhập thời gian thực Chẳng hạn như: Machine learning (ML) 178 Các công nghệ ML sử dụng IDS để quan sát hệ thống đó, 'tìm hiểu' nhằm xác định rõ hoạt động 'thông thường', nhờ phát tình trạng không bình thường Ứng dụng công nghệ ML đề xuất sử dụng số nghiên cứu, ví dụ hệ thống Windom & Sense Bốn mảng sau ML coi có tiềm lớn cho IDS: Concept learning, Clustering, Predictive learning, Extraction of features Các công nghệ phần mềm Thông qua nhiều điểm yếu hệ thống, kẻ xâm nhập thu mở rộng đặc quyền truy nhập, xem vấn đề phê chuẩn kiểm tra phần mềm Thậm chí, điểm yếu hoạt động/quản trị điểm yếu dễ bị công cho dù hệ thống thiết kế tốt nhất, chúng không thực xác Vì vậy, công nghệ xây dựng quản lý phần mềm tốt (cho phép tránh phát điểm yếu mà kẻ xâm nhập lợi dụng) biện pháp bảo vệ, chống lại công xâm nhập Sau kiểu điểm yếu (thông qua kẻ xâm nhập gây xâm nhập tiểm ẩn vào hệ thống) nhận dạng sau: • Các điểm yếu thiết kế (design flaws): Các điểm yếu xuất phát từ việc hiểu sai yêu cầu, thiết lập không đặc tả Các kỹ thuật phê chuẩn kiểm tra phần mềm biện pháp thích hợp Các lỗi thiết kế phổ biến bao gồm: phê chuẩn không số lượng, kích cỡ địa đối số cung cấp cho lời gọi đặc quyền, sơ suất xử lý liệu nhạy cảm nhớ/các heap/thư mục dùng chung, báo cáo sai điều kiện lỗi không bình thường, không đảm bảo khôi phục lỗi an toàn Các công dựa vấn đề đặc trưng (chúng ta biết lớp hệ thống có điểm yếu xác định đó), chung (một người cố gắng khám phá tồn điểm yếu) Trong hai trường hợp, việc giám sát trợ giúp chống lại công (ví dụ, giám sát mẫu hành vi, chẳng hạn lặp lại lời gọi hệ thống với số lượng đối số không đúng) • Các lỗi (faults): Các lỗi bọ sinh tạo chương trình không thiết lập đặc tả Nhiều điểm yếu an toàn bọ gây ra, chẳng hạn chọn lựa không kiểu liệu, sử 179 dụng tham số không xác, lỗi đồng bộ, v.v Giám sát trợ giúp cho việc phát công • Các điểm yếu hoạt động/quản trị (Operational/administrative flaws): Việc khởi tạo giá trị không phù hợp không quán cho tham số làm giảm độ an toàn hệ thống Hầu hết điểm yếu đặc trưng phổ biến, nhận dạng kẻ xâm nhập (cố gắng lợi dụng điểm yếu này), cách giám sát vùng chương trình nơi xuất điểm yếu 180 [...]... những gì có thể kiểm toán Một số sản phẩm TDBMS cung cấp dữ liệu kiểm toán Dữ liệu này thích hợp hơn so với dữ liệu được OS của máy chủ tập hợp Hơn nữa, nhiều dữ liệu giao tác được tập hợp, nhưng chỉ có một số ít trong đó được phân tích bởi vì thiếu các công cụ tự động Các phân tích yêu cầu tập hợp dữ liệu và đảm bảo tính tương quan của dữ liệu kiểm toán trong các giai đoạn xử lý câu truy vấn Người... định xâm nhập, ví dụ trong trường hợp một người nào đó đăng nhập vào hệ 171 thống qua một tài khoản cụ thể từ một vị trí không bao giờ được những người dùng hợp lệ sử dụng Đồng thời cho phép nhận ra những xâm phạm của những người dùng hợp lệ Đồng thời có thể phát hiện ra xâm nhập từ những người dùng làm việc ở các máy đầu cuối không được quyền, nhưng lại kết nối từ các máy có đặc quyền - Đăng nhập. .. đơn với một lớp chứa tất cả các file, sẽ có ích trong việc phát hiện những người dùng 173 đang cố gắng lặp lại việc truy nhập vào các file ko hợp lệ Các profile của file đơn, với tất cả các người dùng có thể giúp phát hiện những truy nhập không hợp pháp vào các file có độ nhạy cảm cao Profile truy nhập CSDL Truy nhập CSDL cũng được coi như truy nhập file Bởi vì trong thực tế trong các hệ thống CSDL quan... mềm tốt hơn (cho phép tránh và phát hiện ra những điểm yếu mà kẻ xâm nhập có thể lợi dụng) là một biện pháp bảo vệ, chống lại các tấn công xâm nhập Sau đây là 3 kiểu điểm yếu (thông qua đó kẻ xâm nhập có thể gây ra các xâm nhập tiểm ẩn vào hệ thống) được nhận dạng như sau: • Các điểm yếu về thiết kế (design flaws): Các điểm yếu này xuất phát từ việc hiểu sai các yêu cầu, hoặc thiết lập không đúng các... quyền, chứa dữ liệu kiểm toán hoặc các bảng định tuyến trong mạng Các profile truy nhập file có thể được xác định với: - Tần số read, write, delete: tham số này kiểm soát số lượng truy nhập và các kiểu chế độ truy nhập Profile tần số truy nhập với các phép toán 'đọc'/'ghi' có thể được xác định cho những người dùng đơn lẻ và các file hoặc cho các lớp người dùng hay các lớp file Các profile cho các phép toán... tương quan của dữ liệu kiểm toán trong các giai đoạn xử lý câu truy vấn Người ta có thể áp dụng được điều này nếu việc dàn xếp truy nhập được thực hiện tại các mức kiến trúc và mức trừu tượng khác nhau, thông qua các cơ chế khác nhau 176 Kỹ thuật phát hiện xâm nhập được thể hiện rõ trong một số thành công khi sử dụng các vết kiểm toán OS và có thể mở rộng cho việc phân tích các vết kiểm toán TDBMS ... thực hiện ở mức quan hệ, thì các profile được sử dụng để kiểm soát hoạt động của file, có thể được sử dụng để kiểm soát hoạt động của CSDL Nếu việc kiểm toán được thực hiện ở mức thấp hơn (ví dụ, các bản ghi đơn), khi đó các nguyên lý tương tự có thể được áp dụng tới các file, nhưng DBMS đó phải được cung cấp hỗ trợ trong việc tạo ra dữ liệu kiểm toán ở mức bản ghi Một hệ thống phát hiện xâm nhập ở... kiểu sự kiện, v.v - Audit log đặc biệt cần thiết khi thiếu các biện pháp an toàn Việc sử dụng hiệu quả cơ chế kiểm toán cũng có thể phát hiện ra các thiếu sót và các điểm yếu trong hệ thống - Sau đây là các câu hỏi chính cần được nhận diện: Volume dữ liệu kiểm toán (Audit data volume): Các volume dữ liệu lớn ảnh hưởng như thế nào đến hiệu năng và hoạt động của các hệ thống TDBMS? Tính nhạy cảm của... profile thực hiện của DBMS/OS hay không (đây là profile đã được lấy ra và ghi lại) Tóm lại, kiểm toán là một tiện ích vô cùng quan trọng khi truy nhập vào mức đảm bảo và tin cậy của các kiến trúc an toàn hệ thống DBMS 5.5 Các xu hướng chung trong phát hiện xâm nhập Một số chủ đề nghiên cứu về kiểm toán và một số chủ đề có liên quan đến lĩnh vực này (khác với an toàn máy tính) đang được tiếp tục phát triển... an toàn máy tính) đang được tiếp tục phát triển và hứa hẹn có thể cải thiện được hướng tiếp cận phát hiện xâm nhập trong thời gian thực Chẳng hạn như: Machine learning (ML) 178 Các công nghệ ML có thể được sử dụng trong các IDS để quan sát một hệ thống nào đó, 'tìm hiểu' nhằm xác định rõ các hoạt động 'thông thường', nhờ đó phát hiện ra các tình trạng không bình thường Ứng dụng của các công nghệ ML ... quản lý phần mềm tốt (cho phép tránh phát điểm yếu mà kẻ xâm nhập lợi dụng) biện pháp bảo vệ, chống lại công xâm nhập Sau kiểu điểm yếu (thông qua kẻ xâm nhập gây xâm nhập tiểm ẩn vào hệ thống)... ngưỡng tồn liên quan đến xâm nhập Ví dụ, lần đăng nhập sai bị nghi ngờ dạng đe dọa xâm nhập, hay truy nhập thực cách đăng nhập tài khoản không sử dụng tháng coi xâm nhập - Mô hình độ lệch trung... định xâm nhập, ví dụ trường hợp người đăng nhập vào hệ 171 thống qua tài khoản cụ thể từ vị trí người dùng hợp lệ sử dụng Đồng thời cho phép nhận xâm phạm người dùng hợp lệ Đồng thời phát xâm nhập