An toàn cơ sở dữ liệu - Chương 4. Phát hiện xâm nhập cơ sở dữ liệu trái phép

pdf 80 trang phuongnguyen 2700
Bạn đang xem 20 trang mẫu của tài liệu "An toàn cơ sở dữ liệu - Chương 4. Phát hiện xâm nhập cơ sở dữ liệu trái phép", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfan_toan_co_so_du_lieu_chuong_4_phat_hien_xam_nhap_co_so_du_l.pdf

Nội dung text: An toàn cơ sở dữ liệu - Chương 4. Phát hiện xâm nhập cơ sở dữ liệu trái phép

  1. Chương 4. PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP GV: Nguyễn Phương Tâm
  2. MỤC TIÊU Giới thiệu một số công cụ phát hiện xâm nhập trái phép Trình bày hướng tiếp cận dựa vào các hệ chuyên gia Trình bày các xu hướng chung trong việc phát hiện xâm nhập Trường CĐ CNTT HN Việt Hàn 2/81 Nguyễn Phương Tâm
  3. NỘI DUNG 4.1 Giới thiệu 4.2 Các công cụ tự động phát hiện xâm nhập 4.3 Hướng tiếp cận dựa vào hệ chuyên gia 4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy 4.5 Các xu hướng chung trong phát hiện xâm nhập Trường CĐ CNTT HN Việt Hàn 3/81 Nguyễn Phương Tâm
  4. 4.1 GIỚI THIỆU Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như: . Xâm phạm tính toàn vẹn. . Từ chối dịch vụ. . Truy nhập trái phép. Trường CĐ CNTT HN Việt Hàn 4/81 Nguyễn Phương Tâm
  5. 4.1 GIỚI THIỆU Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như: . Người sử dụng áp dụng các biện pháp này chưa đúng . Các kiểm soát an toàn làm giảm hiệu năng của hệ thống. . Những người sử dụng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra. Trường CĐ CNTT HN Việt Hàn 5/81 Nguyễn Phương Tâm
  6. 4.1 GIỚI THIỆU Phát hiện xâm nhập là gì? . Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người sử dụng hệ thống bất hợp pháp (“tội phạm máy tính” - hacker) và những người sử dụng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (“đe doạ bên trong”). Trường CĐ CNTT HN Việt Hàn 6/81 Nguyễn Phương Tâm
  7. 4.1 GIỚI THIỆU Ví dụ: . Sửa đổi trái phép các tập tin để có thể truy nhập vào dữ liệu. . Truy nhập hoặc sửa đổi trái phép các tập tin người sử dụng và thông tin. . Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng). . Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có. Trường CĐ CNTT HN Việt Hàn 7/81 Nguyễn Phương Tâm
  8. 4.1 GIỚI THIỆU Mô hình phát hiện xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình phát hiện xâm nhập. Hiện nay có hai kiểu mô hình phát hiện xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) áp dụng là: . Mô hình phát hiện tình trạng bất thường (Anomaly detection models) . Mô hình phát hiện sự lạm dụng (Misuse detection models) Trường CĐ CNTT HN Việt Hàn 8/81 Nguyễn Phương Tâm
  9. 4.1 GIỚI THIỆU Mô hình phát hiện tình trạng bất thường: Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người sử dụng) một cách có thống kê với các tham số trong phiên làm việc của người sử dụng hiện tại. Các sai lệch 'đáng kể' so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra). Trường CĐ CNTT HN Việt Hàn 9/81 Nguyễn Phương Tâm
  10. 4.1 GIỚI THIỆU Mô hình phát hiện sự lạm dụng: Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người sử dụng với các mẫu tấn công đã có, được lưu trong hệ thống. Trường CĐ CNTT HN Việt Hàn 10/81 Nguyễn Phương Tâm
  11. 4.1 GIỚI THIỆU Cơ chế làm việc dựa vào kiểm toán: Các IDS kiểm soát hành vi của người sử dụng trong hệ thống bằng cách theo dõi các yêu cầu mà người sử dụng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó. Trường CĐ CNTT HN Việt Hàn 11/81 Nguyễn Phương Tâm
  12. 4.1 GIỚI THIỆU Nhược điểm: . Các kiểm soát kiểm toán rất phức tạp và được tiến hành sau cùng. . Việc kiểm toán được thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất nhiều khả năng làm việc của hệ thống. . Các kiểm soát kiểm toán này không được tiến hành thường xuyên. Kết quả là các tấn công vào hệ thống không được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đã xảy ra được một thời gian khá lâu. Trường CĐ CNTT HN Việt Hàn 12/81 Nguyễn Phương Tâm
  13. 4.1 GIỚI THIỆU Một số IDS: . Các IDS dựa vào việc phân tích các vết kiểm toán do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ chuyên gia phát hiện xâm nhập) của SRI. . MIDAS của Trung tâm an ninh quốc gia. . Haystack System của Thư viện Haystack. . Wisdom & Sense của thư viện quốc gia Alamos Trường CĐ CNTT HN Việt Hàn 13/81 Nguyễn Phương Tâm
  14. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Các hệ thống phát hiện xâm nhập (IDS) được sử dụng kết hợp với các kiểm soát truy nhập, nhằm phát hiện ra các xâm phạm hoặc các cố gắng xâm phạm có thể xảy ra. Kiến trúc cơ bản của một IDS Trường CĐ CNTT HN Việt Hàn 14/81 Nguyễn Phương Tâm
  15. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Kiến trúc cơ bản của một IDS Vết kiểm toán (Audit trail) Phát hiện sự bất thường Phân tích sự (Anomaly lạm dụng CSDL mẫu tấn detection) CSDL profile công (Misuse analysis) Nhân viên an ninh Mức nghi ngờ (Security officer) (Suspicion level) Trường CĐ CNTT HN Việt Hàn 15/81 Nguyễn Phương Tâm
  16. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Các bước xử lý Phân Tiền tích bất xử lý thường So sánh mẫu Cảnh báo Trường CĐ CNTT HN Việt Hàn 16/81 Nguyễn Phương Tâm
  17. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP  Khi phân tích an toàn dữ liệu kiểm toán, một mục đích của các công cụ tự động là giảm khối lượng dữ liệu kiểm toán được xem xét một cách thủ công. Các công cụ này có thể đưa ra các bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực tuyến hoặc ngoại tuyến.  Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy ra với hệ thống như: các đối tượng xâm nhập bên ngoài, xâm nhập bên trong và đối tượng lạm dụng quyền gây ra.  Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính là những ‘người sử dụng bí mật’ được định nghĩa là những người có thể tránh được các kiểm soát truy nhập và kiểm toán, bằng cách sử dụng các đặc quyền của hệ thống, hoặc hoạt động tại mức thấp hơn mức kiểm toán. Trường CĐ CNTT HN Việt Hàn 17/81 Nguyễn Phương Tâm
  18. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Chúng ta có thể giải quyết tình trạng này bằng cách: . Giảm mức kiểm toán xuống thấp hơn. (Ví dụ, mức kiểm toán chỉ đến mức file, bảng CSDL, ta giảm xuống mức bản ghi, mức cột, mức phần tử ) . Định nghĩa các mẫu sử dụng thông thường của các tham số hệ thống (như hoạt động của CPU, bộ nhớ và sử dụng ổ đĩa) và so sánh chúng các giá trị thực trong quá trình sử dụng hệ thống. Trường CĐ CNTT HN Việt Hàn 18/81 Nguyễn Phương Tâm
  19. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Từ các vết kiểm toán ghi lại được, các IDS tiến hành một số kiểu phân tích như sau: . So sánh hoạt động của người sử dụng với các profile để phát hiện sự bất thường, . So sánh với các phương pháp tấn công đã biết để phát hiện lạm dụng và một số chương trình thì tiến hành cả hai. Trường CĐ CNTT HN Việt Hàn 19/81 Nguyễn Phương Tâm
  20. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP  Hoạt động của IDS . Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một số) máy chủ (host). . Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra một profile có lưu các hoạt động . So sánh nó với CSDL bên trong của máy chủ. Nếu CSDL này là một CSDL cho phát hiện bất thường thì việc so sánh mang tính chất thống kê, còn nếu nó là một CSDL lạm dụng thì tiến hành đối chiếu mẫu khi so sánh. . Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy diễn, phân tích dự báo, hoặc các phương pháp xấp xỉ khác. Trường CĐ CNTT HN Việt Hàn 20/81 Nguyễn Phương Tâm
  21. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Hoạt động của IDS Kết quả phân tích thu được: . Có thể được lưu giữ trong CSDL của IDS . Được dùng để sửa đổi các bản ghi kiểm toán, bằng cách bổ sung thêm/xoá bỏ một số đặc điểm, rồi chuyển cho bộ phận phân tích của hệ thống, nhờ đó IDS có thể kiểm soát được tình hình. Trường CĐ CNTT HN Việt Hàn 21/81 Nguyễn Phương Tâm
  22. 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Các hướng tiếp cận của IDS . Đưa các cửa sập (trapdoors) vào trong hệ thống. . Xác định các quy tắc (hướng tiếp cận phổ biến). . Sử dụng mô hình dựa vào lập luận. . Định nghĩa các hành vi được chấp nhận. Trường CĐ CNTT HN Việt Hàn 22/81 Nguyễn Phương Tâm
  23. CÁC HƯỚNG TIẾP CẬN CỦA IDS  Xác định các quy tắc là hướng tiếp cận phổ biến. . Định nghĩa các mẫu hành vi cho các lớp người sử dụng, . Phát triển các IDS chuyên gia. Các phân tích trợ giúp có thể kết hợp các kiến thức chuyên gia (về các vấn đề an toàn) với khả năng xử lý chính xác và kết hợp một khối lượng lớn dữ liệu của hệ thống. . Hạn chế: • Quy tắc chính là dữ liệu kiểm toán được tìm kiếm cho các tấn công đã biết, trong khi nhiều xâm nhập có thể xảy ra theo các chế độ chưa được biết. • Việc viết quy tắc rất phức tạp, đồng thời việc duy trì nó cũng rất khó khăn. Trường CĐ CNTT HN Việt Hàn 23/81 Nguyễn Phương Tâm
  24. CÁC HƯỚNG TIẾP CẬN CỦA IDS  Sử dụng mô hình dựa vào lập luận (model-based reasoning). . Mô hình này dựa vào các giả thiết, kẻ xâm nhập sử dụng các thủ tục đặc thù để tấn công vào một hệ thống, chẳng hạn như tấn công mật khẩu hệ thống hoặc truy nhập vào các tập tin đặc quyền. . Hệ thống phát hiện xâm nhập suy luận, lấy mô hình làm cơ sở, có nghĩa là hệ thống tìm kiếm những kẻ xâm nhập bằng cách tìm kiếm các hoạt động nằm trong kịch bản tấn công đã được giả thiết từ trước. Các kịch bản biến đổi tuỳ thuộc vào kiểu của hệ thống và kẻ xâm nhập. Trường CĐ CNTT HN Việt Hàn 24/81 Nguyễn Phương Tâm
  25. CÁC HƯỚNG TIẾP CẬN CỦA IDS  Sử dụng mô hình dựa vào lập luận (model-based reasoning). . Lợi ích: chính là khả năng chọn lọc dữ liệu kiểm toán của nó: dữ liệu liên quan được tập trung lại, do đó giảm bớt số lượng dữ liệu được mang ra xem xét. Tuy nhiên, chúng ta có thể tuân theo các hoạt động ngăn ngừa chống xâm nhập, khi hệ thống có khả năng dự báo. . Hạn chế: Với các hệ chuyên gia, hướng tiếp cận bị hạn chế, bởi vì nó tìm kiếm các kịch bản xâm nhập đã biết, nhưng vẫn có thể tồn tại nhiều điểm yếu và các tấn công không được biết trước. Do vậy, cần nghiên cứu kết hợp mô hình dựa vào lập luận với việc phát hiện sự không bình thường mang tính thống kê. Trường CĐ CNTT HN Việt Hàn 25/81 Nguyễn Phương Tâm
  26. CÁC HƯỚNG TIẾP CẬN CỦA IDS Các dự án gần đây khai thác khả năng của các mạng nơron để đối phó lại các tấn công xâm nhập. Mạng nơron giải quyết vấn đề của các phương pháp thống kê. Hiện nay, mặc dù có nhiều triển vọng nhưng hướng tiếp cận này không được phát triển thích đáng để có thể thay thế các thành phần thống kê nằm trong các nguyên mẫu hiện có. Trường CĐ CNTT HN Việt Hàn 26/81 Nguyễn Phương Tâm
  27. CÁC HƯỚNG TIẾP CẬN CỦA IDS  Với các xâm nhập đặc biệt (như virus) và các xâm nhập nói chung, các hệ thống hiện có được phân loại thành: . Các bộ giám sát sự xuất hiện (appearance monitors): Bộ giám sát sự xuất hiện là công cụ phân tích tĩnh, được sử dụng để phát hiện sự không bình thường trong các tập tin nguồn và các tập tin thực hiện. . Các bộ giám sát hành vi (behaviour monitors). Bộ giám sát hành vi tự động xem xét hành vi của các tiến trình khi có hoạt động nguy hiểm xảy ra. Theo sự phân loại này, IDES là một bộ giám sát hành vi trong thời gian thực, nó nhận dạng một tập các tham số kiểm toán, thiết lập hệ thống và các profile người sử dụng. Trường CĐ CNTT HN Việt Hàn 27/81 Nguyễn Phương Tâm
  28. 4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA  Các lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm: . Nhiều hệ thống đang tồn tại có các điểm yếu về an toàn, chính vì vậy các đe doạ xâm nhập có thể xảy ra. Người ta thường khó có thể xác định chính xác hoặc loại trừ các điểm yếu này, vì các lý do kỹ thuật và kinh tế. . Việc thay thế các hệ thống đang tồn tại (với các điểm yếu đã biết) bằng các hệ thống an toàn lại không dễ dàng, bởi vì các hệ thống này thường phụ thuộc vào hệ thống ứng dụng, hoặc việc thay thế đòi hỏi nhiều nỗ lực rất lớn về kỹ thuật và kinh tế. Trường CĐ CNTT HN Việt Hàn 28/81 Nguyễn Phương Tâm
  29. 4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA - IDES  Các lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm: . Việc phát triển các hệ thống an toàn tuyệt đối là vô cùng khó khăn, thường là không thể. . Thậm chí, các hệ thống an toàn cao là các điểm yếu dễ bị người sử dụng hợp pháp lạm dụng. Trường CĐ CNTT HN Việt Hàn 29/81 Nguyễn Phương Tâm
  30. 4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA - IDES  IDES là một hệ thống thời gian thực. IDES giám sát các đe doạ bên ngoài (người sử dụng cố gắng xâm nhập vào hệ thống) và các đe doạ bên trong (người sử dụng cố gắng lạm dụng các quyền của mình).  IDES sử dụng cách tiếp cận chuyên gia, bằng cách giả thiết rằng việc khai thác các điểm yếu của hệ thống do các hành vi xâm phạm gây ra sẽ dẫn đến việc sử dụng bất thường. Do đó, bằng việc quan sát hành vi của người sử dụng, ta có thể phát hiện ra những hành vi bất thường bằng cách định nghĩa các hành vi bình thường, các quy tắc đánh giá cho việc phát hiện hành vi bất thường. Trường CĐ CNTT HN Việt Hàn 30/81 Nguyễn Phương Tâm
  31. 4.3.1 Các mối quan hệ giữa các hành vi đe dọa  Các mối quan hệ cơ bản giữa các loại xâm nhập và hành vi bất thường trong IDES là: . Sự cố gắng xâm nhập: Nhiều lần cố gắng đăng nhập sử dụng những mật khẩu khác nhau với cùng một tài khoản, hoặc sử dụng cùng một mật khẩu với nhiều tên account khác nhau. . Sự giả mạo: xâm nhập qua đăng nhập hợp pháp (nghĩa là tên tài khoản và mật khẩu lấy cắp được hoặc sao chép được, chúng là hợp lệ) và sau đó sử dụng hệ thống khác mẫu thông thường (như: duyệt thư mục thay vì những hành động bình thường: soạn thảo, biên dịch, liên kết, ). Trường CĐ CNTT HN Việt Hàn 31/81 Nguyễn Phương Tâm
  32. 4.3.1 Các mối quan hệ giữa các hành vi đe dọa . Xâm nhập của những người sử dụng hợp pháp: những người sử dụng hợp pháp cố gắng phá vỡ các kiểm soát an toàn (họ sử dụng các chương trình khác với bình thường chúng vẫn chạy). Nếu sự xâm nhập này thành công, họ sẽ truy nhập được vào các file và các lệnh (bình thường bị cấm), do đó thể hiện những hành vi bất thường. . Sự truyền bá dữ liệu bởi những người sử dụng hợp pháp: một người sử dụng cố gắng truy nhập vào dữ liệu nhạy cảm bằng cách đăng nhập ở những thời điểm khác thường, bằng cách viết theo kiểu bất thường (nhiều lần thực hiện đọc), sử dụng các máy in từ xa, hoặc sinh ra nhiều bản sao hơn bình thường. Trường CĐ CNTT HN Việt Hàn 32/81 Nguyễn Phương Tâm
  33. 4.3.1 Các mối quan hệ giữa các hành vi đe dọa . Suy diễn bởi những người sử dụng hợp pháp: lấy được dữ liệu bí mật bằng cách gộp hoặc suy diến. . Trojan: là một đoạn chương trình được chèn vào hoặc thay thế một chương trình, nó có thể thay đổi tốc độ sử dụng CPU, bộ nhớ, thiết bị . Virus Trường CĐ CNTT HN Việt Hàn 33/81 Nguyễn Phương Tâm
  34. 4.3.2 Phân tích hành vi bất thường Việc định nghĩa mô hình phát hiện xâm nhập này cần yêu cầu định nghĩa các profile và các quy tắc. Việc định nghĩa các profile có thể dùng các thuật ngữ metric và các mô hình thống kê (statistical models). Trường CĐ CNTT HN Việt Hàn 34/81 Nguyễn Phương Tâm
  35. 4.3.2 Phân tích hành vi bất thường Một metric là một biến ngẫu nhiên x thể hiện một lượng vượt quá khoảng thời gian quan sát cho trước (hoặc là khoảng thời gian cố định, hoặc là khoảng thời gian giữa 2 sự kiện tương quan). Sự quan sát này là theo dõi các hành động của người sử dụng, các hành động này là các điểm mẫu xi của x được sử dụng trong một mô hình thống kê để xác định xem một biến quan sát mới có được coi là ‘bình thường’ hay không. Mô hình thống kê này độc lập với sự phân phối của x, do đó tất cả hiểu biết về x có thể đạt được từ những biến quan sát đó. Trường CĐ CNTT HN Việt Hàn 35/81 Nguyễn Phương Tâm
  36. 4.3.2 Phân tích hành vi bất thường  Metrics Các metrics thể hiện cách thức nhóm những biến quan sát đơn lẻ của hành vi của một người sử dụng để tạo ra một profile liên quan đến hành vi của người sử dụng đó. Một số metric có thể được sử dụng như: . Event Counter (bộ đếm sự kiện): x là số sự kiện liên quan đến một khoảng thời gian cho trước, khoảng thời gian này thỏa mãn các thuộc tính đã cho. Ví dụ, x có thể mô tả số lần đăng nhập trong một giờ, số lần một lệnh cụ thể được thực hiện trong một phiên làm việc, số lượng các mật khẩu sai trong một phút, hay số lương các truy nhập trái phép vào một file trong một ngày. Trường CĐ CNTT HN Việt Hàn 36/81 Nguyễn Phương Tâm
  37. 4.3.2 Phân tích hành vi bất thường  Metrics . Time interval (khoảng thời gian): x là khoảng thời gian giữa hai sự kiện liên quan: ví dụ khoảng thời gian giữa hai lần đăng nhập liên tiếp liên quan đến một tài khoản đơn lẻ. . Resource measurement: x là lượng tài nguyên được sử dụng bởi một hoạt động của hệ thống trong một khoảng thời gian đã cho: ví dụ, tổng số trang được in bởi một người sử dụng trong một ngày, tổng thời gian CPU của một chương trình đang chạy, hay số lượng các bản ghi được đọc trong 1 ngày. Chú ý Resource measurement có thể thuộc kiểu event counter hay time interval, ví dụ số lượng các trang được in là một event counter. Trường CĐ CNTT HN Việt Hàn 37/81 Nguyễn Phương Tâm
  38. 4.3.2 Phân tích hành vi bất thường Mô hình thống kê – statistical models Với một metric đã cho của một biến ngẫu nhiên x và n biến quan sát x1, x2, ,xn, mục đích của một mô hình thống kê của x là để xác định xem nếu có một biến quan sát mới xn+1 được so sánh là bất thường với các biến trước đó. Trường CĐ CNTT HN Việt Hàn 38/81 Nguyễn Phương Tâm
  39. 4.3.2 Phân tích hành vi bất thường Mô hình thống kê – statistical models Một số mô hình thống kê được sử dụng cho mục đích này là: . Operational model – mô hình thao tác . Mô hình độ lệch trung bình và độ lệch chuẩn . Multivaried model – mô hình đa biến . Markovian model – mô hình Mackop . Time series model – mô hình chuỗi thời gian Trường CĐ CNTT HN Việt Hàn 39/81 Nguyễn Phương Tâm
  40. 4.3.2 Phân tích hành vi bất thường  Operational model – mô hình thao tác: . Giả thiết rằng sự bất thường có thể xác định được bằng cách so sánh một biến quan sát mới của x với một giới hạn cố định. . Giới hạn cố định này sẽ được tính nhờ các biến quan sát trước của x. . Mô hình này có thể áp dụng với các metric để chỉ ra các giá trị ngưỡng tồn tại liên quan đến các xâm nhập. . Ví dụ: 3 lần đăng nhập sai có thể bị nghi ngờ là một dạng đe dọa xâm nhập, hay một truy nhập được thực hiện bằng cách đăng nhập một tài khoản đã không sử dụng 2 tháng được coi là một xâm nhập. Trường CĐ CNTT HN Việt Hàn 40/81 Nguyễn Phương Tâm
  41. 4.3.2 Phân tích hành vi bất thường Mô hình độ lệch trung bình và độ lệch chuẩn: mô hình này dựa vào giả thiết rằng một biến quan sát mới được xem là ‘bình thường’ nếu nó nằm trong khoảng tin cậy avg d stdev ,trong đó: x x . avg độ lệch trung bình avg 1 n n x2 x2 . stdev là độ lệnh chuẩn stdev ( 1 n avg 2 ) n 1 . d là một tham số. Trường CĐ CNTT HN Việt Hàn 41/81 Nguyễn Phương Tâm
  42. 4.3.2 Phân tích hành vi bất thường Mô hình này có thể áp dụng với tất cả các metrics được mô tả trước đó. Thuận lợi của nó là không có hiểu biết ban đầu nào về hoạt động bình thường của người sử dụng được yêu cầu, thay bởi đó, mô hình ‘học’ từ các biến quan sát và có thể dễ dàng so sánh giữa những người sử dụng, trong đó những gì là ‘bình thường’ với một người sử dụng có thể ‘bất thường’ với những người sử dụng khác. Trường CĐ CNTT HN Việt Hàn 42/81 Nguyễn Phương Tâm
  43. 4.3.2 Phân tích hành vi bất thường  Multivaried model – Mô hình đa biến: Mô hình này tương tự với mô hình trên, trừ thực tế là nó dựa vào tương quan giữa hai hoặc hơn hai metric.  Markovian model – Mô hình Markop: Mô hình này xét mỗi kiểu sự kiện (yêu cầu của người sử dụng) như một biến trạng thái, và sử dụng một ma trận chuyển đổi trạng thái để mô tả các tần suất biến đổi giữa các trạng thái. Một biến quan sát mới được gọi là 'bình thường' nếu xác suất của nó được xác định bởi trạng thái trước đó và bởi ma trận chuyển đổi là cao. Mô hình này chỉ có thể áp dụng cho metric event counter, hữu ích trong việc kiểm soát sự biến đổi giữa các lệnh đã cho, khi chuỗi các lệnh này liên quan đến nhau. Trường CĐ CNTT HN Việt Hàn 43/81 Nguyễn Phương Tâm
  44. 4.3.2 Phân tích hành vi bất thường Time series model: Mô hình chuỗi thời gian Mô hình này sử dụng cả event counter, measurement of resource và interval metric, được xác định bởi thứ tự và khoảng thời gian xảy ra giữa các biến quan sát và các giá trị của các biến quan sát đó. Một biến quan sát mới được gọi là 'bất thường' nếu xác suất của sự xuất hiện của nó là quá thấp. Thuận lợi của mô hình này là nó cho phép đánh giá hành vi của người sử dụng. Nhưng bất lợi của nó là chi phí cao. Trường CĐ CNTT HN Việt Hàn 44/81 Nguyễn Phương Tâm
  45. Sự mô tả profile Một số profile được sử dụng để so sánh hành vi thực của những người sử dụng được mô tả trong profile. Mỗi một profile sử dụng một metric và một mô hình thống kê. Các profile được xác định với các chủ thể thực hiện hành động, xác định các đối tượng là nơi các hành động được thực hiện, xác định loại hành động. Profile hành vi có thể được xác định cho mỗi chủ thể trong mỗi đối tượng, hoặc cho mỗi lớp chủ thể/đối tượng. Trường CĐ CNTT HN Việt Hàn 45/81 Nguyễn Phương Tâm
  46. Sự mô tả profile System Subject class Object class Subject class - Object class Subject Object Subject - Object class Subject class- Object Subject - Object Hình 4.3 Hệ phân cấp các phần tử mà các profile hành vi định nghĩa Trường CĐ CNTT HN Việt Hàn 46/81 Nguyễn Phương Tâm
  47. Sự mô tả profile Các profile hoạt động đăng nhập và phiên làm việc Các profile này ghi các hành động được thực hiện bởi một chủ thể (người sử dụng) trên các đối tượng được hiển thị trên các site đăng nhập của người sử dụng (các site này là các máy đầu cuối, các máy trạm, các mạng, các máy chủ từ xa, ). Trường CĐ CNTT HN Việt Hàn 47/81 Nguyễn Phương Tâm
  48. Sự mô tả profile  Các profile hoạt động đăng nhập và phiên làm việc: Các profile đó có thể được mô tả cụ thể bởi các thuật ngữ sau: . Tần số đăng nhập . Tần số vị trí. . Đăng nhập lần cuối. . Session duration- khoảng thời gian của phiên làm việc. . Session output – số lượng đầu ra. . CPU per session, I/O per session, pages per session, . Lỗi mật khẩu. . Lỗi vị trí. Trường CĐ CNTT HN Việt Hàn 48/81 Nguyễn Phương Tâm
  49. Sự mô tả profile Tần số đăng nhập: . Sử dụng metric event counter . Và mô hình thống kê độ lệch trung bình/chuẩn. . Các profile dựa vào đăng nhập có thể được sử dụng để phát hiện những người sử dụng kết nối qua số tài khoản không hợp lệ trong suốt những giờ không phải giờ làm việc. Các profile đăng nhập có thể được định nghĩa cho những người sử dụng đơn lẻ (hoặc nhóm người sử dụng), và các lớp đối tượng có thể được tạo thành theo kiểu vị trí, kiểu kết nối. Trường CĐ CNTT HN Việt Hàn 49/81 Nguyễn Phương Tâm
  50. Sự mô tả profile Tần số vị trí: . Tham số này kiểm soát tần số đăng nhập từ các site khác nhau, bằng cách sử dụng event counter và mô hình độ lệch trung bình/ chuẩn. . Một số phương pháp liên quan đến profile này có thể được xét một cách riêng biệt, theo ngày trong tuần và khoảng thời gian trong ngày; bởi vì một người sử dụng có thể kết nối từ một vị trí trong suốt những giờ làm việc và từ vị trí khác trong những giờ không phải giờ làm việc. Trường CĐ CNTT HN Việt Hàn 50/81 Nguyễn Phương Tâm
  51. Sự mô tả profile Đăng nhập lần cuối: Profile này kiểm soát thời gian trôi qua từ lần đăng nhập cuối cùng, sử dụng metric time interval và mô hình thao tác. Profile này nên được định nghĩa cho những người sử dụng đơn lẻ và các lớp vị trí. Không cần thiết định nghĩa các profile cho mỗi site đơn lẻ, bởi vì vị trí chính xác có thể là không liên quan. Trường CĐ CNTT HN Việt Hàn 51/81 Nguyễn Phương Tâm
  52. Sự mô tả profile Session duration- khoảng thời gian của phiên làm việc: Tham số này kiểm soát khoảng thời gian của một phiên làm việc sử dụng metric time interval và mô hình độ lệch trung bình/chuẩn. Profile này có thể được định nghĩa cho những người sử dụng đơn lẻ hoặc các nhóm người sử dụng, nhưng nên định nghĩa cho các lớp đối tượng. Độ lệch so với hành vi chuẩn được đánh dấu là các tấn công. Trường CĐ CNTT HN Việt Hàn 52/81 Nguyễn Phương Tâm
  53. Sự mô tả profile Session output: Tham số này kiểm soát số lượng đầu ra được sinh ra tư một máy đầu cuối, trong một phiên làm việc hoặc trong một ngày, sử dụng metric đếm tài nguyên và mô hình độ lệch trung bình/chuẩn. Định nghĩa profile này cho các site riêng hoặc các lớp vị trí sẽ có ích trong việc xác định sự quá tải dữ liệu truyền tới các vị trí ở xa, đó được coi là một hành động không hợp lệ truyền dữ liệu nhạy cảm. Trường CĐ CNTT HN Việt Hàn 53/81 Nguyễn Phương Tâm
  54. Sự mô tả profile CPU per session, I/O per session, pages per session, các tham số này kiểm soát việc sử dụng các tài nguyên trong một phiên làm việc sử dụng metric đánh giá tài nguyên và mô hình độ lệch trung bình/chuẩn.Các profile hữu ích trong việc xác định các xâm nhập. Lỗi mật khẩu: profile này kiểm soát số mật khẩu lỗi liên quan đến một đăng nhập đã cho sử dụng metric event counter và mô hình thao tác. Profile này có ích để phát hiện xâm nhập với những người sử dụng đơn lẻ và tất cả các người sử dụng hệ thống. Trường CĐ CNTT HN Việt Hàn 54/81 Nguyễn Phương Tâm
  55. Sự mô tả profile Lỗi vị trí: phần tử này kiểm soát các lỗi đăng nhập sử dụng event counter và mô hình thao tác. Profile này có thể được định nghĩa cho những người sử dụng dơn và cho các nhóm vị trí. Các nhóm vị trí có thể được xét bởi vì một site cụ thể không liên quan đến các mục đích kiểm soát, ngược lại thực tế rằng một vị trí không hợp lệ thì lại rất có ý nghĩa. Profile này có thể được sử dụng để xác định các cố gắng xâm nhập hoặc các cố gắng kết nối từ các máy đặc quyền. Trường CĐ CNTT HN Việt Hàn 55/81 Nguyễn Phương Tâm
  56. Sự mô tả profile  Các profile truy nhập file Các profile truy nhập file xét các phép toán 'read', 'write', 'delete' và 'append' được thực hiện trên một file. Các file có thể được phân loại theo kiểu file (text, file thực thi, thư mục, ) theo người sử dụng chúng hoặc file hệ thống, hoặc các đặc tính khác. Một chương trình cũng là một file. Số các file trong một hệ thống có thể rất cao, vì vậy không thể kiểm soát cho từng file.  Tuy nhiên, các file liên quan đến bảo mật có thể kiểm soát riêng, ví dụ trong các file mật khẩu, các file chứa quyền, chứa dữ liệu kiểm toán hoặc các bảng định tuyến trong mạng. Trường CĐ CNTT HN Việt Hàn 56/81 Nguyễn Phương Tâm
  57. Sự mô tả profile Các profile truy nhập file Các profile truy nhập file có thể được xác định với: . Tần số read, write, delete. . Các bản ghi được read/written. . Lỗi đọc, ghi, xoá, tạo. Trường CĐ CNTT HN Việt Hàn 57/81 Nguyễn Phương Tâm
  58. Sự mô tả profile Tần số read, write, delete: Tham số này kiểm soát số lượng truy nhập và các kiểu chế độ truy nhập. Profile tần số truy nhập với các phép toán 'đọc'/'ghi' có thể được xác định cho những người sử dụng đơn lẻ và các file hoặc cho các lớp người sử dụng hay các lớp file. Các profile cho các phép toán 'create'/'delete' chỉ có nghĩa với việc gộp file, bởi vì mỗi file được tạo ra hoặc bị xoá nhiều nhất 1 lần. Sự bất thường trong truy nhập 'đọc'/'ghi' đối với những người sử dụng đơn lẻ có thể thể hiện tấn công. Trường CĐ CNTT HN Việt Hàn 58/81 Nguyễn Phương Tâm
  59. Sự mô tả profile Các bản ghi được read/written: Các tham số này kiểm soát số lượng các bản ghi được đọc/được ghi sử dụng metric đánh giá trài nguyên và mô hình độ lệch trung bình/chuẩn. Các profile này có thể được đánh giá cho mỗi truy nhập hoặc trong một ngày. Chúng có thể được định nghĩa cho những người sử dụng đơn, các file đơn hoặc cho các lớp người sử dụng, lớp file. Sự bất thường có thể báo hiệu những sự cố gắng để đạt được dữ liệu nhạy cảm qua quá trình suy diễn và gộp (ví dụ, yêu cầu số lượng lớn dữ liệu tương quan nhau). Trường CĐ CNTT HN Việt Hàn 59/81 Nguyễn Phương Tâm
  60. Sự mô tả profile  Lỗi đọc, ghi, xoá, tạo: Tham số này kiểm soát số các xâm phạm truy nhập trong một khoảng thời gian cho trước (ví dụ 1 ngày), sử dụng event counter và mô hình thao tác. Nó có thể được định nghĩa cho những người sử dụng đơn, file đơn, hoặc cho các nhóm người sử dụng và các lớp file. Các profile người sử dụng đơn với một lớp chứa tất cả các file, sẽ có ích trong việc phát hiện những người sử dụng đang cố gắng lặp lại việc truy nhập vào các file ko hợp lệ. Các profile của file đơn, với tất cả các người sử dụng có thể giúp phát hiện những truy nhập không hợp pháp vào các file có độ nhạy cảm cao. Trường CĐ CNTT HN Việt Hàn 60/81 Nguyễn Phương Tâm
  61. Sự mô tả profile Profile truy nhập CSDL Truy nhập CSDL cũng được coi như truy nhập file. Bởi vì trong thực tế trong các hệ thống CSDL quan hệ, mỗi quan hệ được lưu bên trong như một file riêng lẻ, truy nhập tới một quan hệ tương tự như truy nhập file. Tuy nhiên, các phép toán thì khác nhau trong một CSDL, 'retrieve', 'update', 'insert' và 'delete' truy nhập phải được xét cho các bản ghi trong quan hệ đó, và các chế độ 'create' và 'delete' cho toàn bộ quan hệ đó. Các phép toán 'retrieve' trong CSDL đó tương ứng với các phép toán 'đọc file'; 'update', 'insert' và 'delete' tương ứng với các phép toán 'ghi file'. Trường CĐ CNTT HN Việt Hàn 61/81 Nguyễn Phương Tâm
  62. Sự mô tả profile  Profile truy nhập CSDL  Nếu chức năng kiểm toán được thực hiện ở mức quan hệ, thì các profile được sử dụng để kiểm soát hoạt động của file, có thể được sử dụng để kiểm soát hoạt động của CSDL. Nếu việc kiểm toán được thực hiện ở mức thấp hơn (ví dụ, các bản ghi đơn), khi đó các nguyên lý tương tự có thể được áp dụng tới các file, nhưng DBMS đó phải được cung cấp hỗ trợ trong việc tạo ra dữ liệu kiểm toán ở mức bản ghi. Một hệ thống phát hiện xâm nhập ở mức bản ghi thì thường không khả thi. Với một số hệ thống, cần kiểm soát đầy đủ ở mức 'CSDL', mà không cần phân tích CSDL thành các file cấu thành của nó. Trường CĐ CNTT HN Việt Hàn 62/81 Nguyễn Phương Tâm
  63. Sự mô tả profile  Profile truy nhập CSDL Sử dụng một CSDL và một tập tiến trình, IDES kiểm soát: . Các tấn công xâm nhập. . Giả mạo. . Xâm nhập hệ thống bằng những người sử dụng bên ngoài. . Các tấn công suy diễn và gộp. . Các kênh truyền thông tin: hai loại kênh chuyển đổi được kiểm soát: các kênh bộ nhớ, có thể liên quan đến sự bão hoà tài nguyên và các điều kiện ngoại lệ; và các kênh thời gian (dẫn tới việc suy diễn sử dụng các đặc tính thời gian hệ thống) . Từ chối dịch vụ. Trường CĐ CNTT HN Việt Hàn 63/81 Nguyễn Phương Tâm
  64. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Các yêu cầu kiểm toán của TCSEC chỉ rõ: một tập các sự kiện (có thể đếm được) cần được xác định rõ và mỗi sự kiện phải liên quan đến một người sử dụng và được ghi lại trong audit log - nhật ký kiểm toán có bảo vệ, cùng với ngữ cảnh phù hợp của sự kiện đó (proper event context), chẳng hạn như ID của người sử dụng, ngày, giờ, kiểu sự kiện, v.v. File nhật ký kiểm toán đặc biệt cần thiết khi thiếu các biện pháp an toàn. Việc sử dụng hiệu quả cơ chế kiểm toán cũng có thể phát hiện ra các thiếu sót và các điểm yếu trong hệ thống. Trường CĐ CNTT HN Việt Hàn 64/81 Nguyễn Phương Tâm
  65. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các câu hỏi chính cần được nhận diện: . Khối dữ liệu kiểm toán (Audit data volume): Các khối dữ liệu lớn ảnh hưởng như thế nào đến hiệu năng và hoạt động của các hệ thống TDBMS? . Tính nhạy cảm của ứng dụng (Application sensitivity): Trong các hệ thống tin cậy, việc ghi lại các sự kiện là một chức năng của chính sách kiểm soát truy nhập, đúng hơn là một chức năng của ứng dụng. Điều đó lý giải tại sao người ta mong muốn chức năng kiểm toán của TDBMS có thể tương thích với các ứng dụng (ví dụ, để đảm bảo tính toàn vẹn hoặc bí mật)? Trường CĐ CNTT HN Việt Hàn 65/81 Nguyễn Phương Tâm
  66. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các câu hỏi chính cần được nhận diện: . Nhật ký kiểm toán và nhật ký giao tác (audit log and transaction log): Hầu hết các DBMS thương mại ghi lại các sự kiện "sửa đổi" trong CSDL, transacion log thường xuyên được sử dụng để lưu giữ thông tin về tình trạng hỏng hóc của CSDL, hoặc để nhận dạng nguồn của các sửa đổi trên CSDL. Audit log và transaction log có thể đáp ứng phần nào trong chức năng kiểm toán an toàn? . Thực tế và sự đảm bảo (Verisimilitude and assurance): Quan hệ nào tồn tại giữa các sự kiện (có thể ghi lại được) trên một TDBMS và những gì xảy ra thực tế trên hệ thống? Ví dụ, câu truy vấn được ghi lại trước khi thực hiện, nhưng sau khi thực hiện xong câu truy vấn này, có nên kết thúc ghi? Có thể trả lại dữ liệu cho người đưa ra câu truy vấn mà vẫn đảm bảo được tính tương thích về mặt ngữ nghĩa của câu truy vấn? Trường CĐ CNTT HN Việt Hàn 66/81 Nguyễn Phương Tâm
  67. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Khi kiểm toán trên các hệ thống tin cậy, các yêu cầu của TCSEC là ghi lại các quyết định dàn xếp truy nhập. Ban đầu, các yêu cầu của TCSEC hướng kiểm toán trên các hệ thống tin cậy, với mối quan tâm chủ yếu là toàn vẹn dữ liệu. Sau đó, chúng được mở rộng cho các hệ thống TDBMS liên quan tới một số vấn đề, chẳng hạn như các kiểm soát truy nhập phức tạp, các điểm yếu bổ sung, độ chi tiết và volume cao hơn, các đối tượng truy nhập và lạm dụng quyền (trong nhiều TDBMS, việc lạm dụng quyền do những người sử dụng hợp pháp gây ra có thể dẫn đến rủi ro cao hơn, so với việc lạm dụng quyền do những người sử dụng trái phép gây ra). Trường CĐ CNTT HN Việt Hàn 67/81 Nguyễn Phương Tâm
  68. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các kết quả nghiên cứu . Các mục tiêu của kiểm toán phụ thuộc phần lớn vào ứng dụng, chính sách an toàn và các hiểm hoạ môi trường. Tuy nhiên, khả năng lấy dữ liệu để sử dụng khi kiểm toán có thể bị hạn chế trong kiến trúc của TDBMS. Điều này có nghĩa là chính sách và ứng dụng quyết định những gì nên được kiểm toán, trong khi đó kiến trúc hệ thống quyết định những gì có thể kiểm toán. . Một số sản phẩm TDBMS cung cấp dữ liệu kiểm toán. Dữ liệu này thích hợp hơn so với dữ liệu được OS của máy chủ tập hợp. Hơn nữa, nhiều dữ liệu giao tác được tập hợp, nhưng chỉ có một số ít trong đó được phân tích bởi vì thiếu các công cụ tự động. Trường CĐ CNTT HN Việt Hàn 68/81 Nguyễn Phương Tâm
  69. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các kết quả nghiên cứu . Các phân tích yêu cầu tập hợp dữ liệu và đảm bảo tính tương quan của dữ liệu kiểm toán trong các giai đoạn xử lý câu truy vấn. Người ta có thể áp dụng được điều này nếu việc dàn xếp truy nhập được thực hiện tại các mức kiến trúc và mức trừu tượng khác nhau, thông qua các cơ chế khác nhau. . Kỹ thuật phát hiện xâm nhập được thể hiện rõ trong một số thành công khi sử dụng các vết kiểm toán OS và có thể mở rộng cho việc phân tích các vết kiểm toán TDBMS. . Tuỳ thuộc vào "thực tế" của sự kiện được ghi trong các vết kiểm toán, câu hỏi nảy sinh là sự kiện được kiểm toán có thực sự xảy ra hay không. Trường CĐ CNTT HN Việt Hàn 69/81 Nguyễn Phương Tâm
  70. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Quản lý giao tác đặt ra các vấn đề xuất phát từ ảo tưởng: . Các sự kiện xác định nào đó thực sự xảy ra trên CSDL, nhưng không phải như vậy. Điều này xảy ra khi một giao tác không được hoàn thành và DBMS phục hồi CSDL. . Các vấn đề về tính bí mật cũng nảy sinh. Trong thực tế, trước khi được lưu giữ, một giao tác có thể thử các hoạt động ghi và đọc. Vì vậy, một vết kiểm toán đúng đắn có thể chứa profile của các sự kiện. Đây là các sự kiện đã xảy ra trong các giao tác bị huỷ bỏ. Nói cách khác, hệ thống kiểm toán phải phân biệt được các sự kiện kiểm toán, sự kiện nào là sự kiện được hoàn tất, với từng sự kiện thì thời gian tác động của nó ra sao. Trường CĐ CNTT HN Việt Hàn 70/81 Nguyễn Phương Tâm
  71. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Nói chung khi DBMS không tin cậy được ghép thêm vào các kiến trúc hệ thống có OS tin cậy, khả năng thiết lập tùy thuộc vào các nguyên tắc được trình bày trong phần "Thiết kế CSDL an toàn", ở đây có hai vấn đề cơ bản liên quan đến kiểm toán: . Nếu câu truy vấn được lấy ở dạng văn bản và được OS/TCB ghi lại trước khi chuyển tới DBMS back- end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa hình thức của câu truy vấn hay không? . Nếu một phiên bản của câu truy vấn được phân tích cú pháp (hoặc tuân theo), OS/TCB lấy nó ra và ghi lại trước khi chuyển tới DBMS back-end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa học hình thức của câu truy vấn hoặc dạng được phân tích/tuân theo cú pháp của câu truy vấn hay không? Trường CĐ CNTT HN Việt Hàn 71/81 Nguyễn Phương Tâm
  72. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Các kiến trúc này không nhất thiết đưa chính sách truy nhập bắt buộc vào chương trình không tin cậy bất kỳ, do vậy các yêu cầu của TCSEC MAC nên được các kiến trúc này duy trì. Có thể phê chuẩn việc xoá các quan hệ/các CSDL, bằng cách chứng minh rằng câu truy vấn (lệnh của một người sử dụng) được chương trình tin cậy lấy ra, hoặc chứng minh rằng ở đây tồn tại một ánh xạ giữa đối tượng của CSDL và các đối tượng của OS, hoặc chứng minh rằng OS ghi lại quá trình tham gia của nó trong sự kiện xoá kết quả. Trường CĐ CNTT HN Việt Hàn 72/81 Nguyễn Phương Tâm
  73. 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Độ chi tiết ánh xạ giữa các đối tượng của DBMS/OS cũng liên quan đến kiểm toán, tuỳ thuộc vào các dạng cập nhật khác, bao gồm cả yêu cầu tái sử dụng của đối tượng. Nếu OS/TCB phải bảo vệ các quan hệ cá nhân hoặc các bộ, nó có thể quyết định sửa đổi hoặc xoá câu truy vấn nào. Nói cách khác, chúng ta vẫn có thể nhận dạng được các thông tin thô mặc dù giá trị của nó cho các mục đích phân tích vẫn còn là một câu hỏi. Ở đây vẫn không có bằng chứng chứng tỏ rằng các ngữ nghĩa học đầy đủ của câu truy vấn có liên quan đến profile thực hiện của DBMS/OS hay không (đây là profile đã được lấy ra và ghi lại). Trường CĐ CNTT HN Việt Hàn 73/81 Nguyễn Phương Tâm
  74. 4.5 Các xu hướng chung trong phát hiện xâm nhập Có hai xu hướng được tiếp cận phát hiện xâm nhập trong thời gian thực, đó là: Machine learning (ML) Công nghệ phần mềm Trường CĐ CNTT HN Việt Hàn 74/81 Nguyễn Phương Tâm
  75. 4.5 Các xu hướng chung trong phát hiện xâm nhập Machine learning (ML) Các công nghệ ML có thể được sử dụng trong các IDS để quan sát một hệ thống nào đó, 'tìm hiểu' nhằm xác định rõ các hoạt động 'thông thường', nhờ đó phát hiện ra các tình trạng không bình thường. Ứng dụng của các công nghệ ML đã được đề xuất và sử dụng trong một số nghiên cứu, ví dụ trong các hệ thống Windom & Sense. Bốn mảng sau đây của ML được coi là có tiềm năng lớn nhất cho các IDS: Concept learning, Clustering, Predictive learning, Extraction of features. Trường CĐ CNTT HN Việt Hàn 75/81 Nguyễn Phương Tâm
  76. 4.5 Các xu hướng chung trong phát hiện xâm nhập  Công nghệ phần mềm Thông qua nhiều điểm yếu của hệ thống, kẻ xâm nhập có thể thu được hoặc mở rộng các đặc quyền truy nhập, đây được xem là các vấn đề trong phê chuẩn và kiểm tra phần mềm. Thậm chí, các điểm yếu trong hoạt động/quản trị cũng là các điểm yếu dễ bị tấn công cho dù hệ thống được thiết kế tốt nhất, nếu chúng không được thực hiện chính xác. Vì vậy, các công nghệ xây dựng và quản lý phần mềm tốt hơn (cho phép tránh và phát hiện ra những điểm yếu mà kẻ xâm nhập có thể lợi dụng) là một biện pháp bảo vệ, chống lại các tấn công xâm nhập. Trường CĐ CNTT HN Việt Hàn 76/81 Nguyễn Phương Tâm
  77. 4.5 Các xu hướng chung trong phát hiện xâm nhập  Công nghệ phần mềm  Có 3 kiểu điểm yếu (thông qua đó kẻ xâm nhập có thể gây ra các xâm nhập tiểm ẩn vào hệ thống) được nhận dạng như sau: 1. Các điểm yếu về thiết kế (design flaws): Các điểm yếu này xuất phát từ việc hiểu sai các yêu cầu, hoặc thiết lập không đúng các đặc tả. Các kỹ thuật phê chuẩn và kiểm tra phần mềm là các biện pháp thích hợp. Trường CĐ CNTT HN Việt Hàn 77/81 Nguyễn Phương Tâm
  78. 4.5 Các xu hướng chung trong phát hiện xâm nhập Các lỗi thiết kế phổ biến bao gồm: • phê chuẩn không đúng số lượng, kích cỡ hoặc địa chỉ của các đối số được cung cấp cho các lời gọi đặc quyền, • sơ suất khi xử lý dữ liệu nhạy cảm trong bộ nhớ/các heap/thư mục dùng chung, báo cáo sai các điều kiện và các lỗi không bình thường, • không đảm bảo khôi phục lỗi an toàn. Các tấn công dựa trên những vấn đề này có thể là đặc trưng (chúng ta có thể biết được một lớp các hệ thống có điểm yếu xác định nào đó), hoặc chung (một người nào đó cố gắng khám phá nếu tồn tại một điểm yếu). Trường CĐ CNTT HN Việt Hàn 78/81 Nguyễn Phương Tâm
  79. 4.5 Các xu hướng chung trong phát hiện xâm nhập 2. Các lỗi (faults): Các lỗi hoặc các con bọ sinh ra khi tạo ra các chương trình nhưng không thiết lập các đặc tả. Nhiều điểm yếu về an toàn do các con bọ gây ra, chẳng hạn như chọn lựa không đúng kiểu dữ liệu, sử dụng các tham số không chính xác, các lỗi đồng bộ, .v.v. Giám sát cũng có thể trợ giúp cho việc phát hiện các tấn công. Trường CĐ CNTT HN Việt Hàn 79/81 Nguyễn Phương Tâm
  80. 4.5 Các xu hướng chung trong phát hiện xâm nhập 3. Các điểm yếu về hoạt động /quản trị (Operational/administrative flaws): Việc khởi tạo các giá trị không phù hợp hoặc không nhất quán cho các tham số có thể làm giảm độ an toàn của hệ thống. Hầu hết các điểm yếu đều là đặc trưng và phổ biến, vì vậy có thể nhận dạng được những kẻ xâm nhập (cố gắng lợi dụng các điểm yếu này), bằng cách giám sát các vùng chương trình nơi xuất hiện các điểm yếu. Trường CĐ CNTT HN Việt Hàn 80/81 Nguyễn Phương Tâm