Phương pháp phát hiện bất thường để cảnh báo tấn công mạng

Trong nghiên cứu này, nhóm tác giả đề xuất một phương pháp phát hiện bất thường để cảnh báo tấn công mạng bằng cách sử dụng bộ công cụ Elastic Stack thu thập và phân tích dữ liệu log của các ứng dụng; sau đó ứng dụng học máy và thuật toán PCA để phát hiện các hành vi, dấu hiệu, các điểm bất thường trong dữ liệu log, từ đó dự đoán các hành động của người dùng trên các ứng dụng là hành động tấn công, xâm nhập trái phép hay là hành động truy cập bình thường.
Nội dung trích xuất từ tài liệu:
Phương pháp phát hiện bất thường để cảnh báo tấn công mạng Tạp chí Khoa học Công nghệ và Thực phẩm 23 (2) 92-103 PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG ĐỂ CẢNH BÁO TẤN CÔNG MẠNG Vũ Đức Thịnh*, Trần Thị Bích Vân Trường Đại học Công nghiệp Thực phẩm TP.HCM *Email: thinhvd@hufi.edu.vn Ngày nhận bài: 20/5/2022; Ngày chấp nhận đăng: 15/7/2022 TÓM TẮT Trong nghiên cứu này, nhóm tác giả đề xuất một phương pháp phát hiện bất thường để cảnh báo tấn công mạng bằng cách sử dụng bộ công cụ Elastic Stack thu thập và phân tích dữ liệu log của các ứng dụng; sau đó ứng dụng học máy và thuật toán PCA để phát hiện các hành vi, dấu hiệu, các điểm bất thường trong dữ liệu log, từ đó dự đoán các hành động của người dùng trên các ứng dụng là hành động tấn công, xâm nhập trái phép hay là hành động truy cập bình thường; đồng thời cũng so sánh kết quả cảnh báo của phương pháp đề xuất với kỹ thuật học máy Elastic đang được sử dụng trong bộ công cụ Elastic Stack. Từ khóa: PCA, phát hiện bất thường, tấn công. 1. MỞ ĐẦU Phát hiện sự bất thường là để giải quyết vấn đề của việc tìm kiếm các mẫu trong dữ liệu không phù hợp với hành vi mong đợi. Những mẫu không phù hợp này thường được gọi là bất thường, ngoại lệ, bất ngờ, đặc thù, v.v. Phát hiện bất thường được sử dụng rộng rãi trong nhiều lĩnh vực như: y tế, chứng khoán, tài chính, an ninh mạng, quân sự, v.v.; ví dụ: một mẫu lưu lượng bất thường trong một hệ thống mạng máy tính có nghĩa rằng một tin tặc đang tấn công và gửi dữ liệu nhạy cảm đến một điểm mà không được phép, các bất thường trong dữ liệu giao dịch thẻ tín dụng có thể cho phép nhận dạng hành vi trộm cắp [2]. Trong bài báo này, nhóm tác giả đã sử dụng bộ công cụ ELK Stack (Beat, Logstash, Elastic Search, Kibana) [1] để thu thập và phân tích data log của các services; phát hiện dấu hiệu bất thường bằng cách sử dụng kỹ thuật Dimensionality Reduction (DR); theo dõi, dự đoán, phát hiện và cảnh báo các hành vi, điểm, dấu hiệu bất thường trong các file log, traffic vào ra hệ thống, các hành động xâm nhập trái phép hay các hành động truy cập hợp pháp trong quá trình hoạt động của hệ thống bằng thuật toán Principal Component Analysis (PCA). 2. CƠ SỞ LÝ THUYẾT 2.1. Khái niệm về phát hiện bất thường Phát hiện sự bất thường (Anomaly Detection) là xác định các sự kiện, mẫu khác biệt đáng kể so với các hành vi hoặc khuôn mẫu tiêu chuẩn. Các dị thường trong dữ liệu còn được gọi là độ lệch chuẩn, giá trị ngoại lệ, nhiễu, vật lạ, v.v. Trong bối cảnh phát hiện bất thường mạng hoặc xâm nhập mạng và phát hiện lạm dụng thì 2 thuật ngữ được sử dụng phổ biến là bất thường và ngoại lệ. Ví dụ: các hoạt động làm tăng lưu lượng mạng đột biến thường đáng chú ý, mặc dù một hoạt động tăng đột biến như vậy có thể nằm ngoài nhiều kỹ thuật phát hiện bất thường truyền thống; một mẫu lưu lượng bất thường trong một hệ thống mạng máy tính có 92 Phương pháp phát hiện bất thường để cảnh báo tấn công mạng nghĩa rằng một tin tặc đang tấn công và gửi dữ liệu nhạy cảm đến một điểm mà không được phép [2]. 2.2. Các phương pháp phát hiện bất thường 2.2.1. Phương pháp dựa trên dấu hiệu Dấu hiệu là những đặc trưng khi hệ thống bị virus, tấn công, xâm nhập trái phép, v.v. đã được thống kê được trong quá trình hệ thống vận hành và được lưu lại. Hệ thống sẽ triển khai so sánh giữa các dữ liệu đã thu thập với các dấu hiệu khi phát hiện xâm nhập được lưu trữ trong cơ sở dữ liệu của hệ thống xét xem hành động đang được diễn ra đó là an toàn hay không an toàn. Kỹ thuật này đơn giản hiệu quả trong các trường hợp đã từng gặp các mối đe dọa và đã được lưu trữ trong cơ sở dữ liệu của hệ thống nhưng không hiệu quả trong những trường hợp chưa gặp phải bao giờ. Đây cũng là mặt hạn chế của phương pháp này, nên rất ít dùng trong mô hình mạng lớn hay giao thức ứng dụng vì không thể theo dõi bao quát hết các thành phần có trong hệ thống và có độ tin cậy thấp. Hình 1. Mô tả dấu hiệu xâm nhập 2.2.2. Phát hiện dựa vào hành động Kỹ thuật phát hiện dựa vào bất thường là quá trình tổng hợp các hành động thông thường trong một khoảng thời gian từ nhiều đối tượng như những người dùng, máy chủ, kết nối mạng hay các dịch vụ tạo thành hồ sơ thông tin để miêu tả hành động bình thường sau đó so sánh với các sự kiện diễn ra trên hệ thốn để phát hiện bình thường hay bất thường. Phương pháp này có độ chính xác cao khi một hệ thống phát hiện bất thường được thiết lập trong hệ thống và đã có thời gian vận hành dài để triển khai phân tích hoặc học tất cả các hành động bình thường của hệ thống. 2.2.3. Phương pháp phát hiện dựa trên mô hình Phương pháp phát hiện dựa trên mô hình áp dụng các kĩ thuật, phương pháp học máy; trí tuệ nhận tạo; mô hình sử dụng các thuật toán để phát hiện ra các thời điểm bình thường hay bất bình thường, triển khai các qui luật phát hiện tấn công một cách tự động từ các cơ sở dữ liệu mô phỏng. Phương pháp này được sử dụng rộng rãi trong các hệ thống dự đoán, phát hiện các cuộc tấn công hay xâm nhập trái phép kể cả cũ hay mới tuy nhiên nhiều lúc nó có thể đưa ra các cảnh báo nhầm so với hai phương pháp trên. 2.2.4. Kỹ thuật phát hiện dựa vào phân tích trạng thái giao thức Hiện nay, các kẻ tấn công thường thông qua các giao thức mạng để tấn công hay xâm nhập bất hợp pháp vào hệ thống. Mỗi giao thức điều có cấu trúc và cách hoạt động riêng biệt, kỹ thuật phát hiện dựa vào phân tích trạng thái giao thức sử dụng các dữ liệu hoạt động hợp lệ của giao thức có sẵn trong hệ thống để xem xét có hành vi tấn công đang xảy ra hay không. ...