Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2

Nối tiếp phần 1, Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 tiếp tục trình bày những nội dung về phát hiện xâm nhập; các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký; phân tích dữ liệu; tri thức về nguy cơ bảo mật và tài nguyên cần bảo vệ; phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê; các phương pháp quy chuẩn thực tiễn tốt nhất cho phân tích;... Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------- NGUYỄN NGỌC ĐIỆP BÀI GIẢNG KỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNG HÀ NỘI, 2015 CHƯƠNG 3 PHÁT HIỆN XÂM NHẬP Chương này trình bày các vấn đề liên quan đến bước phát hiện xâm nhập trong chu trình giám sát an toàn mạng, bao gồm một số nội dung sau: các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký, các phương pháp phát hiện xâm nhập như phương pháp phát hiện xâm nhập dựa trên danh tiếng, phương pháp phát hiện xâm nhập dựa trên chữ ký và phương pháp phát hiện xâm nhập dựa trên dữ liệu bất thường thống kê, và các công cụ thực hành cụ thể là Snort, Suricata và SiLK. 3.1 CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ 3.1.1 Kỹ thuật phát hiện xâm nhập Phát hiện xâm nhập là một chức năng của phần mềm thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh báo. Dữ liệu cảnh báo được tạo ra bởi các cơ chế phát hiện được chuyển tới chuyên gia phân tích, và đó là khi việc phân tích bắt đầu. Để thực hiện phát hiện thành công, cần chú ý đến việc lựa chọn cơ chế phát hiện và đầu vào thích hợp. Phần lớn các cơ chế phát hiện xâm nhập được thảo luận trong tài liệu này là những hệ thống phát hiện xâm nhập dựa trên mạng (NIDS), bao gồm hai loại chính là dựa trên chữ ký và dựa trên phát hiện bất thường. Phát hiện dựa trên chữ ký là hình thức lâu đời nhất của phát hiện xâm nhập. Phương pháp này thực hiện bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu đã biết. Ví dụ đơn giản của mô hình này là một địa chỉ IP hoặc một chuỗi văn bản; ví dụ về mô hình phức tạp hơn là số lượng byte null (byte rỗng) xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó. Khi các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt động, chúng trở thành dấu hiệu của tấn công. Khi được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ chế phát hiện xâm nhập, chúng trở thành chữ ký. Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và Suricata (sẽ được giới thiệu trong phần sau). Một tập con các phát hiện dựa trên chữ ký là phát hiện dựa trên danh tiếng. Cơ chế phát hiện này cố gắng phát hiện thông tin liên lạc giữa các máy tính được bảo vệ trong mạng và các máy tính trên Internet có thể bị nhiễm độc do đã từng tham gia vào các hành động độc hại trước đó. Kết quả phát hiện dựa trên các chữ ký đơn giản như địa chỉ IP hoặc tên miền. Phát hiện dựa trên bất thường là một hình thức mới của phát hiện xâm nhập, được phổ biến nhanh chóng nhờ các công cụ như Bro. Phát hiện dựa trên bất thường dựa vào quan sát sự cố mạng và nhận biết lưu lượng bất thường thông qua các chẩn đoán và thống kê. Thay vì chỉ đơn giản là cảnh báo bất cứ khi nào phát hiện ra mẫu tấn công, cơ chế phát hiện dựa trên bất thường có khả năng nhận ra các mẫu tấn công khác biệt với hành vi mạng thông thường. Đây là cơ chế 64 phát hiện rất tốt nhưng khó thực hiện. Ví dụ, Bro là một cơ chế phát hiện bất thường, và thực hiện phát hiện bất thường dựa trên thống kê. Một tập con mới được phát triển của phát hiện dựa trên bất thường là sử dụng cơ chế phát hiện dựa trên Honeypot. Honeypot đã được sử dụng trong nhiều năm để thu thập phần mềm độc hại và các mẫu tấn công cho mục đích nghiên cứu. Nhưng chúng cũng có thể được ứng dụng tốt trong phát hiện xâm nhập bằng cách cấu hình hệ thống. Honeypot thường chứa các lỗ hổng đã được biết đến, nhưng chúng không có dữ liệu bí mật thực tế. Thay vào đó, chúng được cấu hình cho việc ghi lại dữ liệu, và thường được kết hợp với các loại khác của NIDS hoặc HIDS. 3.1.2 Dấu hiệu xâm nhập và chữ ký Các cơ chế phát hiện sẽ không hiệu quả nếu dữ liệu đầu vào không được chuẩn bị kỹ càng và hợp lý. Điều này liên quan đến sự phát triển, duy trì và thực hiện các dấu hiệu xâm nhập (Indicators of Compromise - IOC) và chữ ký. IOC là những thông tin được sử dụng để mô tả khách quan một xâm nhập mạng, độc lập về nền tảng. Các thông tin có thể bao gồm một dấu hiệu đơn giản như địa chỉ IP của máy chủ chỉ huy và kiểm soát (command and control server - C&C hay C2), hoặc một tập hợp phức tạp các hành vi chỉ ra rằng máy chủ thư điện tử đã bị sử dụng như là một SMTP relay độc hại. IOC có thể được trình bày theo nhiều cách thức và định dạng khác nhau để có thể được sử dụng bởi các cơ chế phát hiện khác nhau. Ví dụ, một công cụ có thể có thể phân tích các địa chỉ IP trong một danh sách phân cách bởi dấu phẩy, một công cụ khác có thể yêu cầu chúng phải được đưa vào một cơ sở dữ liệu SQL. Mặc dù biểu diễn của IOC đã được thay đổi, nhưng nó vẫn còn phù hợp. Hơn nữa, một IOC hành vi có thể có được chia nhỏ thành nhiều thành phần riêng lẻ và được triển khai cho nhiều cơ chế phát hiện để hoạt động được trên mạng. Khi một IOC được thực hiện và được sử dụng trong một ngôn ngữ hoặc định dạng cụ thể, chẳng hạn như một luật Snort hoặc một tệp tin theo định dạng Bro, nó sẽ trở thành một phần của một chữ ký. Một chữ ký có thể chứa một hoặc nhiều IOC. IOC cho mạng và máy tính Có 2 dạng phổ biến nhất của IOC là dựa trên mạng và máy tính. IOC cho máy tính là một mẫu thông tin được tìm thấy trên một máy tính, mô tả khách quan một xâm nhập. Một số IOC cho máy tính thông thường là tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry), … IOC cho mạng là một mẫu thông tin có thể được bắt trên kết nối mạng giữa các máy chủ, mô tả khách quan một xâm nhập. Một số IOC cho mạng phổ biến là địa chỉ IPv4, địa chỉ IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,… IOC tĩnh IOC tĩnh là những IOC mà giá trị được định nghĩa một cách rõ ràng. Có ba biến thể của IOC tĩnh là đơn vị (hay còn gọi là nguyên tố), đư ...