Tiểu luận Tìm hiểu tổng quan về đánh giá hệ thống phát hiện xâm nhập và tìm hiểu về Ftester qua đó ứng dụng trong một hệ thống cụ thể

Download
MC LC  
LI MỞ ĐẦU........................................................................................................................................3  
DANH MC VIT TT .......................................................................................................................4  
PHÂN CÔNG CÔNG VIC..................................................................................................................5  
CHƯƠNG I. TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THNG PHÁT HIN XÂM NHP ......................6  
1.1. Gii thiu................................................................................................................................6  
1.2. Đặc điểm của đánh giá hệ thng phát hin xâm nhp .......................................................6  
1.2.1. Độ bao ph........................................................................................................................6  
1.2.2. Xác suất của báo động giả ...............................................................................................8  
1.2.3. Xác suất phát hiện......................................................................................................... 10  
1.2.4. Khả năng chống tấn công trực tiếp tại IDS ................................................................. 11  
1.2.5. Khả năng điều khiển lưu lượng băng thông cao ......................................................... 12  
1.2.6. Khả năng tương quan sự kiện ...................................................................................... 12  
1.2.7. Khả năng phát hiện các tấn công chưa bao giờ xảy ra. .............................................. 12  
1.2.8. Khả năng định danh một tấn công ............................................................................... 13  
1.2.9. Khả năng phát hiện tấn công thành công.................................................................... 13  
1.2.10. Công suất kiểm chứng cho NIDS............................................................................... 13  
1.2.11. Các độ đo khác............................................................................................................. 14  
1.3. Nlực đánh giá IDS hiện có .............................................................................................. 14  
1.3.1. Đại học California tại Davis (UCD) ............................................................................. 16  
1.3.2. Phòng thí nghim Lincoln MIT (MIT/LL)................................................................... 16  
1.3.3. Phòng thí nghim nghiên cu không quân (AFRL) ................................................... 17  
1.3.4. MITRE........................................................................................................................... 18  
1.3.5. Neohapsis/ Network-Computing................................................................................... 18  
1.3.6. Nhóm NSS ..................................................................................................................... 19  
1.3.7. Network World Fusion.................................................................................................. 19  
1.4. Những thách thức của Testing IDS................................................................................... 20  
1.4.1. Những khó khăn trong việc thu thập Scripts tấn công và phần mềm Victim............. 20  
1.4.2. Yêu cu cho những đánh giá IDS dạng Signature Based và Anomaly Based ........... 21  
1.4.3. Nhng yêu cu khác bit cho những đánh giá IDS Network Based với Host Based. 22  
1.4.4. phương pháp tiếp cn ti vic sdụng Background Traffic trong đánh giá IDS...... 22  
1.5. Giải pháp nghiên cứu đánh giá IDS.................................................................................. 23  
1 | P a g e  
1.5.1. Chia sẻ bộ dữ liu.......................................................................................................... 23  
1.5.2. Về dấu vết tấn công ....................................................................................................... 24  
1.5.3. Dọn dẹp dữ liệu thc..................................................................................................... 24  
1.5.4. Bộ dữ liệu báo động cảm biến....................................................................................... 25  
1.5.5. Sử dụng công nghệ mới ................................................................................................ 25  
CHƯƠNG II. KHÁI QUÁT VỀ FTESTER....................................................................................... 26  
2.1. Gii thiu Ftester................................................................................................................ 26  
2.2. Thành phn......................................................................................................................... 26  
2.3. Hoạt động............................................................................................................................ 26  
CHƯƠNG III. ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ TH.......................... 30  
KẾT LUẬN......................................................................................................................................... 31  
TÀI LIỆU THAM KHẢO................................................................................................................... 32  
2 | P a g e  
LI MỞ ĐẦU  
Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽ đem lại  
những lợi ích và ứng dụng vô cùng to lớn cho con người đặc biệt trong lĩnh vực  
Internet và Thương Mại Điện Tử. Mạng máy tính ra đời, mở rộng và phát triển không  
ngừng tạo nên hệ thống mạng Internet toàn cầu. Ngày càng có nhiều người nhận ra lợi  
ích của việc nối mạng (để chia sẻ tài nguyên, có thể trao đổi và tìm kiếm thông tin  
hiệu quả, nhanh chóng, tiết kiệm thời gian và chi phí,...), Internet đã thực sự trở thành  
một phần không thể thiếu trong cuộc sống của con người.  
Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trung gian,  
nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằng thông tin khi  
đến tay người nhận không bị thay đổi hoặc không bị sao chép. Chúng ta đã được nghe  
nhiều về vấn đề thông tin bị đánh cắp gây những thiệt hại nghiêm trọng hay những kẻ  
thường xuyên trộm thông tin của người khác, thậm chí ăn trộm mật khẩu và giả mạo  
nhằm phá hoại việc giao dịch. Thực tế cũng đã cho thấy số các vụ tấn công vào mạng  
ngày càng tăng, các kỹ thuật tấn công ngày càng mới và đa dạng. Chính vì thế mà vấn  
đề an toàn được đặt lên hàng đầu khi nói đến việc truyền thông trên mạng.  
Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát  
lối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả các  
thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước  
khi truyền, ký trước khi truyền,...Ngoài ra, công nghệ phát hiện và ngăn chặn xâm  
nhập cũng đang được ứng dụng rất hiệu quả. Và đánh giá các hệ thống phát hiện xâm  
nhập xem đúng đắn hay chưa là một việc rất quan trọng. Bởi vậy nhóm em đã chọn đề  
tài “ Tìm hiểu tổng quan về đánh giá hệ thống phát hiện xâm nhập và tìm hiểu về  
Ftester qua đó ứng dụng trong một hệ thống cụ thể .  
Do kiến thức và thời gian còn hạn chế nên không tránh khỏi những thiếu sót về  
mặt nội dung và hình thức, mong cô và các bạn tham khảo và bổ sung cho nhóm, để  
nhóm hoàn thiện hơn báo cáo của mình.  
Chúng em xin trân thành cảm ơn!!!  
3 | P a g e  
 
DANH MỤC VIẾT TẮT  
Ký hiu  
IDS  
Tviết tt  
Intrusion Detection System  
CVE  
Common  
Vulnerabilities  
and  
Exposures  
NIDS  
ROC  
Network Intrusion Detection System  
Receiver Operating Characteristic  
Network Security Monitor  
NSM  
AFRL  
Air Force Research Laboratory  
4 | P a g e  
 
PHÂN CÔNG CÔNG VIC  
CÔNG VIC  
STT  
1
HVÀ TÊN  
LÊ THLINH  
Tìm hiu tng quan về đánh giá hệ thng  
phát hin xâm nhp  
2
3
VŨ HOÀNG ĐẠT  
Tìm hiu vFtester  
LÊ VĂN PHƯƠNG  
Thc hin Demo ng dng ca Ftester  
trong đánh giá mt hthng phát hin  
xâm nhp cthể  
5 | P a g e  
 
CHƯƠNG I. TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THNG PHÁT  
HIN XÂM NHP  
1.1. Gii thiu  
Trong những năm qua việc sdng hthng phát hin xâm nhp (IDS) trong  
thương mại đã phát triển mnh m, và IDS hiện đang là thiết btiêu chun cho các  
doanh nghiêp mng ln. Mặc dù có sự đầu tư khá lớn nhưng phương pháp có sẵn hiện  
nay lại không toàn diện và nghiêm ngặt để có thể kiểm tra tính hiệu quả của hệ thống  
này. Một số có thể đổ lỗi cho người tiêu dùng không đòi hỏi các biện pháp hiệu quả  
như vậy trước khi mua IDS. Một số cũng có thể đổ lỗi cho các đơn vị nghiên cứu tài  
trợ không đầu tư nhiều tiền hơn trong lĩnh vực này. Nhưng phương pháp đo lường là  
một ngoại lệ. Tuy nhiên, định lượng đo hiệu năng IDS là không có sẵn vì có rất nhiều  
rào cản nghiên cứu cần phải vượt qua trước khi chúng ta có thể tạo ra các bài kiểm tra  
như vậy. Bài viết này nêu các phép đo định lượng mà chúng ta cần, những trở ngại  
cản trở sự tiến bộ để phát triển các phép đo, và ý tưởng của chúng tôi cho các nghiên  
cứu về phương pháp đo lường hiệu năng hệ thống phát hiện xâm nhập để vượt qua  
những trở ngại này.  
1.2. Đặc điểm ca đánh giá hthng phát hin xâm nhp  
Trong phn này chúng tôi lit kê mt bộ các phép đo mà có thể được thc  
hin trên hthng phát hin xâm nhp IDS.  
1.2.1. Độ bao phủ  
Số đo này xác định những tấn công một IDS có thể phát hiện dưới điều kiện  
lý tưởng. Đối với các hệ thống dựa trên chữ ký, điều này chỉ đơn giản là sẽ bao gồm  
việc đếm số lượng chữ ký và lập bản đồ chúng vào một sơ đồ đặt tên tiêu chuẩn. Đối  
với các hệ thống phi chữ ký, người ta cần phải xác định tấn công bên ngoài tập các tấn  
công đã biết thông qua một phương pháp đặc biệt nào đó. Mỗi cuộc tấn công đều có  
một mục tiêu cụ thể (ví dụ như từ chối dịch vụ, thâm nhập, hoặc quét,…); phần mềm  
chống đặc biệt chạy trên các phiên bản của một hệ điều hành cụ thể hoặc một giao  
6 | P a g e  
       
thức chống lại cụ thể; và bằng chứng hay một dấu vết để lại ở địa điểm khác nhau.  
Các cuộc tấn công cũng có thể phụ thuộc vào phần cứng của hệ thống bị tấn công,  
trên các phiên bản của một giao thức được sử dụng, hoặc trên các phương thức hoạt  
động được sử dụng. Các nhà nghiên cứu nhấn mạnh một loạt các tính năng khác nhau  
trong nghiên cứu đo lường của họ bao gồm: mục tiêu tấn công; các kiểu dữ liệu nạn  
nhân mà phải được thu thập để có được bằng chứng của cuộc tấn công; các cuộc tấn  
công sử dụng kỹ thuật trốn tàng hình IDS và sự kết hợp của các tính năng này. Kết  
quả là một số nhà nghiên cứu thừa nhận rằng mỗi cuộc tấn công có nhiều mục tiêu và  
phương thức hoạt động, trong khi những người khác xác định mỗi cuộc tấn công có  
cấu hình mục tiêu và phương thức hoạt động rất cụ thể. Chênh lệch này có liên quan  
đến mức chính xác của độ chi tiết để quan sát các cuộc tấn công làm cho nó khó khăn  
trong việc đếm số lượng các cuộc tấn công mà một IDS phát hiện và khó khăn để so  
sánh độ bao phủ của IDS. Vấn đề này được làm dịu bớt phần nào nhờ danh sách  
Common Vulnerabilities and Exposures (CVE), đó là một danh sách chứa hầu như tất  
cả các lỗ hổng được biết đến. Tuy nhiên, cách tiếp cận CVE không giải quyết vấn đề  
này khi mà các cuộc tấn công phức tạp được sử dụng để khai thác các lỗ hổng tương  
tự bằng cách sử dụng phương pháp tiếp cận khác nhau để tránh hệ thống IDS. Để giải  
quyết vấn đề này, các nhóm tiêu chuẩn CVE đã bắt đầu một dự án đặt tên cho các  
cuộc tấn công, nhưng công việc này vẫn đang trong giai đoạn nghiên cứu.  
Một vấn đề khác với việc đánh giá độ bao phủ của các cuộc tấn công đó là xác  
định tầm quan trọng của các kiểu tấn công khác nhau. Các trang web khác nhau có thể  
gán giá trị chi phí quản lý thay đổi rộng hơn và tầm quan trọng trong việc phát hiện  
các kiểu tấn công khác nhau. Các nhà quản lý của các trang web thương mại điện tử  
có thể không quan tâm đến việc phát hiện và phân tích một tia quét hoặc giám sát các  
cuộc tấn công mà được sử dụng để xác định máy chủ và các nguồn tài nguyên khác  
trên mạng. Thường thì những cuộc tấn công không có ảnh hưởng đến việc kinh doanh  
7 | P a g e  
của họ và thường không thể được ngăn chặn. Tuy nhiên, quản lý thương mại điện tử  
có thể rất quan tâm trong việc phát hiện sự phân tán của tấn công từ chối dịch vụ  
(DDoS), và trong việc phát hiện thành công thỏa hiệp máy chủ hoặc ẩn trang  
web. Điều nhấn mạnh ở đây là khác với các phương pháp tiếp cận của đa số đánh giá  
thương mại bao gồm dò và giám sát các cuộc tấn công. Các trang web quân sự có thể  
tập trung nhiều sự chú ý đến một nỗ lực giám sát các cuộc tấn công trong một thực  
nghiệm để xác định tiền thân của các mối đe dọa nghiêm trọng hơn.  
Ngoài ra, hầu hết các trang web không thể phát hiện các cuộc tấn công tìm  
kiếm lỗ hổng thất bại và chúng không còn tồn tại trên một trang web. Các cuộc tấn  
công có thể thất bại vì hoạt động của hệ thống này đã được vá và không còn dễ bị tấn  
công; vì hệ thống với các hệ điều hành yêu cầu không tồn tại, hoặc vì một tường lửa  
hoặc các khối thiết bị bảo vệ tấn công quan trọng khác. Một số trang web cụ thể có  
thể giám sát chỉ là một vài trong số hàng ngàn lỗi bảo mật được biết đến hiện nay  
trong CVE, và chúng sẽ thay đổi tương ứng với các hệ thống được thay thế, vá lỗ  
hổng, và cấu hình lại và như lỗ hổng mới được phát hiện.  
1.2.2. Xác suất của báo động giả  
Số đo này xác định tỷ lệ dương tính với phát hiện sai được tạo ra bởi một IDS ở  
một môi trường mang đến trong một khung thời gian cụ thể. Một báo động giả hay sai  
là một cảnh báo gây ra bởi lưu lượng tin bình thường không độc hại. Một số nguyên  
nhân cho Network IDS (NIDS) có chữ ký yếu rằng: cảnh báo trên tất cả các lưu lượng  
truy cập đến một số hiệu cổng cao được sử dụng bởi một backdoor; tìm kiếm cho sự  
xuất hiện của một từ phổ biến chẳng hạn như "help" trong 100 byte đầu tiên của  
SNMP hoặc các kết nối TCP khác; hoặc phát hiện hành vi vi phạm phổ biến của giao  
thức TCP. Chúng cũng có thể được gây ra bởi mạng lưới giám sát bình thường và  
bảo vệ lưu lượng tin tạo ra bởi công cụ quản lý mạng. Khó khăn ở đây là việc đo  
lường các báo động sai vì một IDS có thể có tỷ lệ dương tính với báo động giả khác  
8 | P a g e  
 
nhau trong mỗi môi trường mạng và ở đây lại không có những điều như một "tiêu  
chuẩn mạng". Ngoài ra, rất khó để xác định các khía cạnh của lưu lượng mạng hoặc  
hoạt động máy chủ sẽ gây ra các báo động giả. Kết quả là, có thể rất khó khăn để đảm  
bảo rằng chúng tôi có thể tạo ra số lượng và kiểu của các báo động sai trong một kiểm  
thử IDS giống như được tìm thấy trong các mạng thực sự. Cuối cùng, IDS có thể  
được cấu hình và điều chỉnh theo nhiều cách khác nhau để làm giảm tỷ lệ dương tính  
giả. Điều này làm khó khăn trong việc xác định cấu hình của một IDS cho nên được  
sử dụng cho một kiểm thử dương tính giả đặc biệt.  
Một đường cong ROC là một tổng hợp các xác suất của các báo động giả và xác  
suất của các phép đo phát hiện. Chúng tôi đề cập đến nó vì tầm quan trọng của nó  
trong cộng đồng thử nghiệm IDS. Đường cong này tóm tắt các mối quan hệ giữa hai  
trong số những đặc điểm IDS quan trọng nhất đó là: dương tính sai và xác suất phát  
hiện. Trong hình 1, chúng tôi hiển thị đường cong hoạt động đặc trưng thu được  
(ROC) tạo ra bởi hai hệ thống trong một thử nghiệm IDS.  
Hình 1. Đường cong ROC- Độ chính xác tỷ lệ phần trăm các tấn công bị phát hiện  
với tỷ lệ phần trăm báo động sai  
9 | P a g e  
Trục x cho thấy tỷ lệ báo động sai được tạo ra trong một bài kiểm tra và trục y  
cho thấy tỷ lệ phần trăm của các cuộc tấn công phát hiện được tại bất kỳ tỷ lệ phần  
trăm báo động giả. Lưu ý rằng một IDS có thể hoạt động ở bất kỳ điểm nào trên  
đường cong. Trong ví dụ này, hệ thống 1 có thể được điều chỉnh đến một loạt các  
điểm hoạt động, trong khi hệ thống 2 sẽ là khó khăn để cấu hình vì nó chỉ có một  
điểm hoạt động thực tế.  
Theo định nghĩa, đường cong ROC cho thấy xác suất trên trục x và trục y,  
nhưng đôi khi các đơn vị đo lường cho lưu lượng bình thường là rất khó khăn để xác  
định. Kết quả là, các nhà nghiên cứu đã sử dụng các báo động sai theo mỗi đơn vị thời  
gian trên trục x. Một đơn vị đo là rất cần thiết để xác định số lượng tối đa báo động  
sai có thể xảy ra trong một khoảng thời gian nhất định. Đơn vị đo lường này phụ  
thuộc rất nhiều vào cách tính năng được tách xuất trong một IDS từ các dữ liệu  
đầu vào sử dụng và rất khó để xác định cho hệ thống phát hiện xâm nhập thương mại  
hệ thống hộp đen khác. Đối với mục đích đánh giá, nó có lẽ là tốt hơn để vẽ tỷ lệ  
phát hiện so với báo động giả ở mỗi đơn vị thời gian. Những đường cong này không  
thực sự đường cong ROC, nhưng chúng truyền đạt thông tin quan trọng khi phân  
tích và so sánh IDS. Trong hình1, cả hai hệ thống là dựa trên NIDS, và các đơn vị đo  
tổng số các gói tin truyền qua mạng. Các phân tích cho rằng, lúc tồi tệ nhất, một  
IDS có thể phát hành một cảnh báo cho mỗi gói tin, và số lượng tối đa cảnh báo là  
tổng số các gói tin truyền đi.  
1.2.3. Xác suất phát hiện  
Số đo này xác định tỷ lệ của các cuộc tấn công phát hiện được một cách chính  
xác bởi một IDS ở một môi trường mang lại trong một khung thời gian cụ thể. Khó  
khăn trong việc đo lường tỷ lệ phát hiện là sự thành công của một IDS phần lớn phụ  
thuộc vào các thiết lập của các cuộc tấn công được sử dụng trong các lần đánh giá.  
Ngoài ra, khả năng phát hiện thay đổi theo tỷ lệ dương tính giả, và một IDS có thể  
10 | P a g e  
 
được cấu hình hoặc điều chỉnh để ưu tiên cho một trong hai khả năng phát hiện các  
cuộc tấn công hoặc để giảm thiểu tình trạng dương tính với báo động giả.  
Hơn nữa, một NIDS có thể tránh bằng phiên bản tàng hình của các cuộc tấn  
công. Một NIDS có thể phát hiện một cuộc tấn công khi nó được đưa ra một cách đơn  
giản dễ hiểu. Kỹ thuật sử dụng để giúp các cuộc tấn công tàng hình bao gồm các gói  
phân mảnh, sử dụng các loại khác nhau của dữ liệu mã hóa, sử dụng cờ TCP bất  
thường, mã hóa các gói tin tấn công, tấn công lan rộng qua nhiều phiên mạng, và các  
cuộc tấn công phát động từ nhiều nguồn khác  
1.2.4. Khả năng chống tấn công trực tiếp tại IDS  
Việc đo đạc này chứng tỏ khả năng một IDS chịu đựng một nỗ lực của một kẻ  
tấn công làm gián đoạn các hoạt động chính xác của IDS như thế nào. Các cuộc tấn  
công chống lại một IDS có thể gồm hình thức:  
Gửi một lượng lớn lưu lượng không tấn công với khối lượng vượt quá khả  
năng xử lý của IDS. Với quá nhiều lưu lượng truy cập đến tiến trình, một  
IDS có thể giảm các gói dữ liệu và không thể phát hiện các cuộc tấn công.  
Gửi cho IDS gói không tấn công với mánh khóe đặc biệt để kích hoạt nhiều  
chữ ký trong IDS, do đó áp đảo người điều hành của IDS với dương tính  
giả hoặc báo động giả sự cố hoặc hiển thị các công cụ cảnh báo.  
Đưa vào các IDS một số lượng lớn các gói tin tấn công nhằm mục đích  
đánh lạc hướng người điều hành của IDS trong khi những kẻ tấn công chủ  
mưu một tấn công thực sự ẩn dưới các " smokescreen " được tạo ra bởi vô  
số các cuộc tấn công khác.  
Đưa vào các gói IDS chứa dữ liệu mà khai thác một lỗ hổng bên trong các  
thuật toán xử lý IDS. Các cuộc tấn công như vậy sẽ chỉ thành công nếu IDS  
chứa một lỗi mã hóa được biết đến mà có thể bị khai thác bởi một kẻ tấn  
11 | P a g e  
 
công thông minh. May mắn thay, một vài IDS đã có thể được biết đến tràn  
bộ đệm hoặc lỗ hổng khác.  
1.2.5. Khả năng điều khiển lưu lượng băng thông cao  
Độ đo này thể hiện IDS sẽ hoạt động tốt như thế nào khi trình bày với một khối  
lượng lớn lưu lượng tin. Hầu hết các hệ thống phát hiện xâm nhập mạng sẽ bắt đầu  
giảm các gói tin giống như tăng độ rộng băng thông truyền lưu lượng tin, do đó gây ra  
IDS bỏ lỡ một tỷ lệ phần trăm của các cuộc tấn công. Tại một ngưỡng nhất định, hầu  
hết các IDS sẽ dừng phát hiện bất kỳ cuộc tấn công nào. Độ đo này gần như giống hệt  
với "sức đề kháng để từ chối dịch vụ đo lường "khi kẻ tấn công gửi một lượng lớn các  
phi vụ tấn công lưu lượng truy cập đến các IDS. Sự khác biệt duy nhất là độ đo này  
tính toán khả năng của IDS để điều khiển khối lượng lưu lượng cụ thể thông thường.  
1.2.6. Khả năng tương quan sự kiện  
Việc đo đạc này chứng tỏ một IDS tương quan sự kiện tấn công như thế  
nào. Những sự kiện có thể được thu thập từ IDS, router, tường lửa, các file ứng dụng,  
hoặc nhiều loại thiết bị khác. Một trong những mục tiêu chính của sự tương quan này  
là xác định tổ chức các cuộc tấn công xâm nhập. Hiện nay, IDS chỉ hạn chế khả năng  
ở việc đo đạc này  
1.2.7. Khả năng phát hiện các tấn công chưa bao giờ xảy ra.  
Việc đo đạc này chứng tỏ một IDS có thể phát hiện các cuộc tấn công mà chưa  
xảy ra trước đây như thế nào. Đối với hệ thống thương mại, nói chung là không hữu  
ích để thực hiện việc đo đạc này từ khi công nghệ dựa trên chữ ký của họ chỉ có thể  
phát hiện các cuộc tấn công mà đã xảy ra trước đó (với một vài trường hợp ngoại  
lệ). Tuy nhiên, hệ thống nghiên cứu dựa trên phát hiện bất thường hoặc phương pháp  
12 | P a g e  
     
tiếp cận dựa trên đặc điểm có thể phù hợp cho loại đo lường này. Thông thường các  
hệ thống phát hiện các cuộc tấn công đó không bao giờ phát hiện được trước sản  
phẩm dương tính giả hơn sớm so với những hệ thống mà không có tính năng này.  
1.2.8. Khả năng định danh một tấn công  
Việc đo đạc này chứng tỏ một IDS có thể định danh các cuộc tấn công mà nó  
đã phát hiện như thế nào, bằng cách dán nhãn từng tấn công với một tên chung hoặc  
tên dễ bị tổn thương hoặc gán cho các cuộc tấn công vào một danh mục.  
1.2.9. Khả năng phát hiện tấn công thành công.  
Việc đo đạc này chứng tỏ nếu IDS có thể xác định thành công các cuộc tấn  
công từ các trang web từ xa mà cung cấp cho các kẻ tấn công đặc quyền cấp cao hơn  
trong tấn công hệ thống. Trong môi trường mạng hiện tại, nhiều cuộc tấn công đặc  
quyền từ xa thất bại và không gây hại cho các hệ thống bị tấn công. Đối với các cuộc  
tấn công tương tự, một số IDS có thể phát hiện bằng chứng về thiệt hại (cho dù các  
cuộc tấn công đã thành công) và một số IDS phát hiện chỉ có chữ ký của các hành  
động tấn công (không có chỉ định các cuộc tấn công thành công hay không). Khả  
năng xác định cuộc tấn công thành công là điều cần thiết cho việc phân tích mối  
tương quan cuộc tấn công và các kịch bản tấn công; nó cũng đơn giản hoá rất nhiều  
công việc của một nhà phân tích bằng cách phân biệt giữa việc thành công các cuộc  
tấn công quan trọng và các cuộc tấn công thất bại thường ít gây hại. Đo khả năng này  
đòi hỏi các thông tin về các cuộc tấn công thất bại cũng như các cuộc tấn công thành  
công.  
1.2.10.  
Công suất kiểm chứng cho NIDS  
13 | P a g e  
     
NIDS đòi hỏi nhận thức giao thức cấp cao hơn so với các thiết bị mạng khác  
chẳng hạn như chuyển mạch và định tuyến; nó có khả năng kiểm tra vào mức độ sâu  
hơn các gói dữ liệu mạng. Vì vậy, điều quan trọng là đo lường khả năng của một  
NIDS để nắm bắt, xử lý và thực hiện tại cùng mức độ chính xác dưới một mạng nào  
đó  
1.2.11.  
Các độ đo khác  
Ngoài các độ đo trên còn có các phép đo khác, chẳng hạn như dễ sử dụng, dễ  
bảo trì, triển khai vấn đề, yêu cầu nguồn lực sẵn có và chất lượng hỗ trợ, vv.. Những  
phép đo này không liên quan trực tiếp đến việc thực hiện IDS nhưng có thể quan  
trọng hơn trong nhiều tình huống thương mại.  
1.3. Nlực đánh giá IDS hiện có  
Các nlực đánh giá IDS khác nhau đáng kể vchiu sâu, phạm vi, phương  
pháp, và độ tập trung của họ. Bảng 1 tóm tắt các đặc điểm của một số nỗ lực đánh giá  
tại các nước phát triển hơn, liệt kê theo thứ tự thời gian. Bảng này cho thấy rằng  
những đánh giá có độ phức tạp tăng lên vượt thời gian, bao gồm nhiều IDS và nhiều  
loại tấn công hơn, như tấn công tàng hình và từ chối dịch vụ (DoS). Đánh giá các hệ  
thống thương mại đã bao gồm các phép đo hiệu suất theo tải trọng lưu lượng cao.  
14 | P a g e  
   
Bảng 1. Đặc điểm của các đánh giá IDS  
15 | P a g e  
Đưới đây cung cấp thông tin chi tiết liên quan đến tất cả các đánh giá thể hiện  
trong Bảng 1  
1.3.1. Đại học California tại Davis (UCD)  
Những nỗ lực nghiên cứu ban đầu ở Đại học California tại Davis dẫn đến  
việc nền tảng thử nghiệm IDS đầu tiên tự động phát động các cuộc tấn công bằng  
cách sử dụng tương tác telnet, FTP,và phiên rlogin. Một mạng lưới các hệ thống  
phát hiện xâm nhập được gọi là Network Security Monitor (NSM) trong đó sử  
dụng kết hợp từ khoá để phát hiện các cuộc tấn công trong lưu lượng mạng. Các  
đánh giá được sử dụng một vài cuộc tấn công bao gồm cả đoán mật khẩu, truyền tải  
một tập tin mật khẩu cho một máy chủ từ xa, và khai thác một lỗ hổng trong  
chương trình mô-đun tải để có được tình trạng sử dụng mạnh trên một máy  
Unix. NSM bỏ lỡ một số các cuộc tấn công cho đến khi từ khóa bổ sung thêm được  
thêm vào.  
1.3.2. Phòng thí nghim Lincoln MIT (MIT/LL)  
MIT / LL đã thực hiện các thử nghiệm IDS định lượng rộng lớn nhất cho đến  
nay. Tài trợ bởi Cơ quan Nghiên cứu Dự án Bộ Quốc phòng Mỹ (DARPA). MIT /  
LL tiến hành thử nghiệm IDS quy mô lớn, nghiên cứu vào năm 1998 và 1999. Các  
nỗ lực đánh giá năm 1999 tạo ra background traffic trực tiếp tương tự như trên một  
căn cứ không quân có chứa hàng trăm người sử dụng trên hàng ngàn máy chủ. Hơn  
200 trường hợp của 58 loại tấn công (bao gồm cả các cuộc tấn công tàng hình)  
được cài vào trong bảy tuần tạo dữ liệu và hai tuần kiểm thử dữ liệu. Khác với đánh  
giá năm 1998 của họ, đánh giá năm 1999 được thiết kế chủ yếu để đánh giá khả  
năng của hệ thống nhằm phát hiện các cuộc tấn công mới mà không cần đào tạo lần  
đầu tiên về các trường hợp tấn công. Các cuộc tấn công tự động được đưa ra chống  
16 | P a g e  
   
lại ba máy nạn nhân là UNIX (SunOS, Solaris, Linux), Windows, NT host, và một  
bộ định tuyến trong sự hỗ trợ của nền lưu lượng truyền (background traffic). Tỷ lệ  
phát hiện các cuộc tấn công, tỷ lệ báo động giả cho background traffic, và các  
đường cong ROC đã tạo cho hệ thống IDS hơn 18 nghiên cứu và các loại tấn công  
bao gồm DoS,thăm dò, remote-to-local, và các cuộc tấn công user-to-super-  
user. Các cuộc tấn công được tính là đã phát hiện nếu một IDS tạo ra một cảnh báo  
cho các máy tính bị tấn công rằng lưu lượng tin được chỉ thị hoặc các hoạt động  
trên một máy chủ nạn nhân được tạo ra bởi các cuộc tấn công. Một phân tích về  
cuộc tấn công cũng đã được thực hiện để xác định nếu IDS có thể cung cấp chính  
xác tên cho các cuộc tấn công cũ và chi tiết cuộc tấn công bao gồm cả các địa chỉ  
IP nguồn, cổng được sử dụng, bắt đầu và kết thúc của cuộc tấn công. Kết quả  
chứng minh rằng sự kết hợp giữa mạng và phương pháp tiếp cận dựa trên máy chủ  
đã cung cấp vùng bao phủ tấn công tốt nhất.  
1.3.3. Phòng thí nghim nghiên cu không quân (AFRL)  
AFRL cũng theo tài trợ của DARPA, tham gia với MIT / LL nghiên cứu đánh  
giá IDS trong năm 1998 và 1999. Phương pháp của họ là tương tự như MIT / LL (họ  
sử dụng một số lưu lượng truy cập và hệ tấn công phần mềm MIT / LL) nhưng tập  
trung vào thử nghiệm IDS trong thời gian thực trong một môi trường mạng phân cấp  
phức tạp hơn.  
Hệ thống IDS đã được cài đặt trong một thử nghiệm, background traffic được  
chạy trong bốn giờ, và các cuộc tấn công đã được đưa ra đối với các host ở giữa  
background traffic này. AFRL mô phỏng một mạng lưới rộng lớn bởi phát triển phần  
mềm để tự động gán tùy ý địa chỉ IP nguồn đến phiên mạng cá nhân chạy trên máy  
tính thử nghiệm. Các thử nghiệm năm 1998 đánh giá ba nghiên cứu IDS dựa trên chữ  
ký và một hệ thống chính phủ off-the-shelf (GOTS) cơ bản tương tự như NSM. Hệ  
thống nghiên cứu về căn bản tỷ lệ báo động giả thấp đáng kể so với hệ thống  
17 | P a g e  
 
GOTS, nhưng phát hiện tấn công tổng thể có độ chính xác vẫn còn khoảng 25% ở  
mức báo động giả chấp nhận được.  
1.3.4. MITRE  
Tổng công ty MITRE đã tổ chức Intrusion Detection Fly-Off, một trong những  
đánh giá đầu tiên của hệ thống phát hiện xâm nhập thương mại và chính phủ. Hoạt  
động này là một cuộc điều tra về các đặc trưng và khả năng của mạng dựa trên  
IDS. Bảy IDS đã được thử nghiệm bằng cách sử dụng một phương pháp hai giai  
đoạn. Giai đoạn I bao gồm các cuộc tấn công tương đối đơn giản bằng cách sử dụng  
các công cụ như SATAN. Giai đoạn này đã cho IDS khai thác một cơ hội để làm quen  
với các IDS khác, và cho những kẻ tấn công một cơ hội để thực hành tấn công các hệ  
thống. Giai đoạn II được thiết kế để mô phỏng một cuộc tấn công được xác định, liên  
quan đến các cuộc tấn công tàng hình cả đơn giản và phức tạp hơn. Kết quả tính được  
tạo ra là khả năng thời gian cảnh báo; báo cáo năng lực; phân tích khả năng off-  
line; khả năng phản ứng; và hệ thống quản lý từ xa.  
Những phân tích điểm yếu tiết lộ trong việc thực hiện và ổn định của một số hệ  
thống kiểm thử. Hai trong số các hệ thống thương mại được thử nghiệm phát hiện  
nhiều cuộc tấn công cấp độ thấp hơn so với ba hệ thống chính quyền phát triển, có lẽ  
vì họ có nhiều chữ ký hơn cho các cuộc tấn công. Tuy nhiên hệ thống chính phủ phát  
triển đã phù hợp hơn để phát hiện và phân tích các cuộc tấn công cấp cao thực hiện  
trong phiên tương tác. Những kẻ tấn công với kiến thức nhất định của các chữ ký  
được sử dụng trong IDS, đã có thể tạo ra các cuộc tấn công tàng hình không phát hiện  
được.  
1.3.5. Neohapsis/ Network-Computing  
18 | P a g e  
   
Từ năm 1999, tạp chí Network Computing đã tài trợ đánh giá các sản phẩm  
phát hiện xâm nhập thương mại của Neohapsis Laboratories. Các đánh giá gần đây  
nhất bao gồm 13 IDS thương mại và các mã nguồn mở Snort IDS. Kết quả định tính  
tập trung vào đặc điểm thực tế bao gồm cả tính năng dễ sử dụng khung quản lý, ổn  
định, chi phí hiệu quả, chất lượng chữ ký / chiều sâu, và dễ dàng tùy biến. Kết quả  
định lượng bao gồm số lượng các cuộc tấn công được phát hiện và đôi khi mức độ  
dung lượng tối đa có thể được xử lý trước khi IDS bắt đầu bỏ các gói dữ liệu, không  
thực hiện việc kiểm tra chữ ký, hoặc phân mảnh các gói dữ liệu bị thất bại.  
1.3.6. Nhóm NSS  
Nhóm NSS đánh giá IDS và quét các lỗ hổng trong năm 2000 và 2001. Các báo  
cáo của năm 2001 đánh giá IDS bao gồm 15 sản phẩm IDS thương mại và mã nguồn  
mở Snort IDS. Phần lớn các báo cáo này trình bày chi tiết thông tin cho mỗi IDS trên  
kiến trúc của nó, dễ dàng cài đặt và cấu hình. Mười hai IDS được so sánh bằng cách  
sử dụng 18 hoặc 66 lỗ hỗng phổ biến có sẵn bao gồm quét cổng, DoS, Distributed  
DoS, Trojans, Web, FTP, SMTP, POP3, ICMP, và các cuộc tấn công Finger. Các  
cuộc tấn công chỉ được tính là phát hiện khi họ đã được báo cáo "càng đơn giản và rõ  
ràng càng tốt." Tỷ lệ phát hiện tấn công được đo trên 100 M bit / s , mạng với không  
lưu lượng tin lưu lượng nhỏ (64 byte) trong thế giới thực, và lưu lượng lớn  
(1514 byte) các gói tin tiêu thụ lần lượt các giá trị 0%, 25%, 50%, 75% và 100% băng  
thông mạng.  
1.3.7. Network World Fusion  
Một xem xét hạn chế hơn trong năm IDS thương mại đã được báo cáo bởi Tạp  
chí Network World Fusion. Đánh giá này đã thảo luận tính năng dễ dàng thiết lập  
cũng như sử dụng, nhưng nó cũng đánh giá độ phát hiện chính xác sử dụng 27 tấn  
19 | P a g e  
   
công phổ biến đưa ra đối với ba máy tính nạn nhân. Những cuộc tấn công web tàng  
hình được tạo ra bằng cách sử dụng công cụ tấn công “whisker”.  
1.4. Những thách thức của Testing IDS  
Có một số khía cạnh của các IDS khiến cho việc đánh giá IDS trở nên nhiều  
thách thức hơn. Cụ thể được trình bày dưới đây.  
1.4.1. Những khó khăn trong việc thu thập Scripts tấn công và phần mềm Victim  
Một vấn đề mà đã kìm hãm sự tiến bộ trong lĩnh vực này là khó khăn trong việc  
thu thập kịch bản tấn công và phần mềm nạn nhân. Để thu thập một lượng lớn số kịch  
bản tấn công là một việc khó khăn và tốn kém. Trong khi kịch bản như vậy là phổ  
biến rộng rãi trên Internet, nhưng vẫn phải mất thời gian để tìm thấy kịch bản có liên  
quan đến một môi trường thử nghiệm cụ thể. Khi một kịch bản được xác định, với  
một người có kinh nghiệm vững chắc cũng phải mất khoảng một tuần để xem xét các  
mã, kiểm tra khai thác, xác định nơi các cuộc tấn công bỏ sót bằng chứng, tự động  
hóa các cuộc tấn công, và tích hợp nó vào một môi trường thử nghiệm. Như thể hiện  
trong Bảng 1, số lượng các kiểu tấn công được sử dụng trong đánh giá thực thi năm  
2001 trong phạm vi từ 9 đến 66. Một vấn đề liên quan đó rất khó khăn (nhưng  
dường như cần thiết) để thu thập phần mềm nạn nhân phù hợp liên kết với mỗi  
kịch bản tấn công. Thường thì các kịch bản khác nhau chỉ làm việc với số phiên bản  
rất cụ thể của phần mềm điều này rất khó khăn để đạt được.  
Bản thân phần mềm cũng có thể khó khăn để có được bởi vì chi phí đắt hoặc  
có thể là các phần mềm không thực sự công khai. Ngoài ra, phiên bản phần mềm cũ  
hơn dễ bị tổn thương cũng không dễ dàng được từ các nhà cung cấp. Phần mềm dễ  
bị tổn thương là rất cần thiết cho những đánh giá và các gói tin tấn công có thể không  
chỉ đơn giản đưa vào một IDS. Nếu không có thông tin về các tính năng được sử  
20 | P a g e  
   
Tải về để xem bản đầy đủ
pdf 32 trang yennguyen 29/03/2022 6380
Download
Bạn đang xem 20 trang mẫu của tài liệu "Tiểu luận Tìm hiểu tổng quan về đánh giá hệ thống phát hiện xâm nhập và tìm hiểu về Ftester qua đó ứng dụng trong một hệ thống cụ thể", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • pdftieu_luan_tim_hieu_tong_quan_ve_danh_gia_he_thong_phat_hien.pdf