Phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng mạng hàng đợi
Tóm tắt:
Hệ thống phát hiện xâm nhập IDS đóng vai trò quan trọng và cần thiết trong cấu trúc kết nối LAN
nhằm đảm bảo an ninh cho một cơ sở, cơ quan nhà nước, doanh nghiệp, trường học,. Ngày nay sự gia
tăng tấn công mạng càng yêu cầu lớn về các loại IDS. Công nghệ của IDS, các giải pháp an ninh mà IDS
thực hiện gia tăng hiệu quả trong đảm bảo an ninh mạng. Do đó, phân tích hiệu năng của IDS là một vấn
đề được quan tâm nghiên cứu. Bài báo này đề xuất sử dụng mô hình hàng đợi để phân tích hiệu năng của
hệ thống phát hiện xâm nhập dựa vào kết nối mạng (NIDS), một trong những phương pháp hiệu quả.
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Bạn đang xem tài liệu "Phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng mạng hàng đợi", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng mạng hàng đợi
uyết định kiểm tra sự đáp ứng tích cực và thụ động đối với các xâm nhập. Các đáp ứng này dựa trên các cảnh báo. Chất lượng của IDS được thể hiện qua các tỷ lệ phát hiện và tỷ lệ cảnh báo sai. Các firewall mạng nói chung trong đó gồm cả IDS được nghiên cứu [3] mô hình hóa bằng hàng đợi hữu hạn dựa trên chuỗi Markov nhúng (Embedded Markov Chain) để phân tích hiệu năng của chúng khi có lưu lượng bình thường cũng như có các lưu lượng tấn công DoS qua các thông số: thông lượng, mất gói, trễ gói, mức độ sử dụng của CPU trên firewall. Nghiên cứu [4] tổng hợp các ứng dụng của Markov ẩn cho IDS. Một số nghiên cứu, ví dụ [5][6][7] ứng dụng mạng nơron để đánh giá hiệu năng của IDS. 3. Mạng hàng đợi đóng của NIDS đa lớp công việc [8][9] • Mạng hàng đợi đa lớp công việc: Một mạng hàng đợi (đóng, mở, hoặc kết hợp) có thể có một số lớp công việc. Các lớp công việc (một luồng gói tin) khác nhau bởi các thời gian phục vụ và các xác suất định tuyến của chúng. Một công việc có thể chuyển từ một lớp sang lớp khác khi nó chuyển từ một nút đến một nút khác. Nếu không có công việc việc nào của một lớp cụ thể không chuyển từ bên ngoài mạng đến hoặc rời khỏi mạng ra ngoài thì số lượng công việc của một lớp không thay đổi và lớp công việc đó được gọi là đóng. Ngược lại, lớp công việc không đóng được gọi là mở. Nếu mạng hàng đợi chứa cả các lớp đóng và mở thì mạng được gọi là mạng kết hợp. Có các ký hiệu sau đây cần phải được bổ sung để mô tả các mạng hàng đợi nhiều lớp công việc: R - số lượng các lớp công việc trong một mạng. n ir - số lượng các công việc của lớp thứ r ở nút i; đối với một mạng đóng: n Nir r R i K 11 = == // Nr - số lượng công việc của lớp thứ r trong toàn mạng; giá trị này không nhất thiết là hằng số ngay cả trong mạng đóng, bởi vì một công việc khi chuyển từ một nút đến một nút khác có thể chuyển lớp: n Nir r i K 1 = = / N - tổng số công việc thuộc tất cả các lớp của toàn mạng là một vector tổng các số lượng công việc của từng lớp: N = (N 1 , N 2 ,..., NR) S i - trạng thái của nút i của mạng là: S i = (n i1 , n i2 , ..., n iR ) và thỏa mãn: S Ni i K 1 = = / . S - trạng thái của toàn mạng gồm nhiều lớp các công việc là vector: S = (S 1 , S 2 ,..., S N ) irn - tốc độ phục vụ của nút i cho tất các các công việc thuộc một lớp r. ,ir jsr - xác suất định tuyến mà một công việc của lớp r ở nút i được chuyển đến nút j của lớp s. ,js0r - xác suất trong một mạng mở mà một công việc từ ngoài mạng chuyển đến nút j thuộc lớp s. 0,irr - xác suất trong một mạng mở mà một công việc của lớp r rời khỏi mạng sau khi đã được phục vụ xong ở nút i: 1, ,ir ir js s R j K 0 11 r r= - == // m - tổng tốc độ đến từ ngoài mạng. ,ir0m - tốc độ đến nút i từ ngoài mạng của các công việc thuộc lớp r, ,ir0m = m . 0,irr irm - tốc độ đến nút i của các công việc thuộc lớp r, đối với mạng mở: . . ;, ,ir ir js s R js ir j K 0 11 m m r m r= + == // • Đề xuất mạng hàng đợi mở cho LAN với Firewall và NIDS: Mạng hàng đợi mở gồm các nút hàng đợi dạng M/M/n, trong đó Router+Firewall được mô hình bằng hàng đợi M/M/1, NIDS được mô hình bằng hàng đọi M/M/1, các máy chủ Servers được mô hình bằng hàng đợi M/M/8 (cho rằng trong LAN có khoảng 8 servers), mạng Ethernet gồm 300 máy trạm được mô hình bằng hàng đợi M/M/300 (Hình ISSN 2354-0575 Journal of Science and Technology58 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 1). Mạng hàng đợi mở có nguồn vào (Source) từ Internet là các luồng dữ liệu tấn công (packet attack flow) - gọi là lớp công việc 1 (job class 1) và, luồng dữ liệu bình thường (Packer normal service flow) - gọi là lớp công việc 2 (job class 2). Mặc định cho rằng các nút hàng đợi có khả năng xử lý được tất cả các gói tin đến (khách hàng, hay công việc), do đó kích thước hàng đợi là ∞. Toàn bộ lưu lượng các gói tin từ Internet trước tiên phải qua Route+Firewall và NIDS. Để phân tích ảnh hưởng NIDS đến hiệu năng của LAN (gồm các servers và các máy trạm, cho rằng NIDS xử lý được lưu lượng tấn công (class 2) và không cho lưu lượng này đi vào LAN, mà chỉ lượng bình thường (class 1) vào LAN. Sự thay đổi tốc độ xử lý luồng tấn công ảnh hưởng đến đáp ứng trung bình của NIDS và của cả LAN. Để thực hiện mô phỏng và tính toán hiệu năng của mạng hàng đợi đề xuất, tác giả sử dụng công cụ mô phỏng JMT v.1.0.1 (Java Modelling Tools) [10]. Sơ đồ ở Hình 2 và các kết quả mô phỏng ở dạng các đồ thị cho ở các Hình 3: (1)-(24) nhận được từ chạy chương trình JMT. Hình 1. Mạng hàng đợi mở của LAN+NIDS Hình 2. Mạng hàng đợi mở của LAN+NIDS trong JMT v.1.0.1 Thực hiện 3 kịch bản với sự thay đổi thời gian phục vụ trung bình E[S] của các hàng đợi Rout- er+Firewall và NIDS đối với luồng các gói tấn công (job class 2). Thời gian phục vụ trung bình của các hàng đợi đối với luồng gói dịch vụ bình thường (job class 1) không thay đổi và bằng 0.5s cho cả 3 kịch bản. Tốc độ đến trung bình của các gói dữ liệu tấn công và bình thường từ Source đều là λ = 0.5s-1. Hai số đo hiệu năng được tính trong mô phỏng là E[N] - số khách hàng trung bình (Number of Customers) và E[R] - đáp ứng trung bình (Response Time) (s). 4. Kết quả mô phỏng 1) Kịch bản 1: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của Servers và Ethernet bằng 0.5s Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.1s, của Servers và Ethernet bằng 0.5s. Tốc độ đến trung bình từ Source (Internet), λ: của các luồng gói tin Class 1 và Class 2 bằng 0.5sec-1; Các kết quả tính trên JMT cho ở các hình (1) - (8). Hình 3: (1). Number of customers of NIDS (class1) 125.088 ISSN 2354-0575 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology 59 Hình 3: (2). Response Time of NIDS (class 1): 98.838s Hình 3: (3). Number of customers of NIDS (class 2) 52.305 Hình 3: (4). Response Time of NIDS (class 2): 14.31s Hình 3: (5). Number of Customers of Servers (class 1), 0.365 Hình 3: (6). Response Time of Servers (class 1): 0.500s Hình 3: (7). Number of customers of Ethernet (class 1), 0.699 Hình 3: (8). Response Time of Ethernet (class 1): 0.499s Từ Hình 3: (1) đến Hình 3: (8) thể hiện kết quả của số lượng khách hàng trung bình và mức đáp ứng trung bình của hệ thống trong kịch bản 1. 2) Kịch bản 2: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s. Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s. Tốc độ đến trung bình từ Source (Internet), λ: của các luồng gói tin Class 1 và Class 2 bằng 0.5sec-1; Các kết quả tính trên JMT cho ở các hình (9) - (16). Hình 3: (9). Number of customer of NIDS (class 1), 89.832 Hình 3: (10). Response Time of NIDS (class 1), 59.901s Hình 3: (11). Number of customers of NIDS (class 2), 50.239 ISSN 2354-0575 Journal of Science and Technology60 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Hình 3: (12). Response Time of NIDS (class 2), 64.390s Hình 3: (13). Number of customer of servers (class 1), 0.349 Hình 3: (14). Response Time of Servers (class 1), 0.500s Hình 3: (15). Number of customer of Ethernet (class 1), 0.668 Hình 3: (16). Response Time of Ethernet (class 1), 0.500s Từ Hình 3: (9) đến Hình 3: (16) thể hiện kết quả của số lượng khách hàng trung bình và mức đáp ứng trung bình của hệ thống trong kịch bản 2. 3) Kịch bản 3: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 0.5s, của các Servers và Ethernet bằng 0.5s. Class 2: đặt thời gian phục vụ trung bình của Router+firewall và NIDS bằng 1s, của các Servers và Ethernet bằng 0.5s. Tốc độ đến trung từ Source (Internet), λ: của các luồng gói tin class 1 và class 2 bằng bằng 0.5 sec-1; Các kết quả (17) - (24). Hình 3: (17). Number of customers of NIDS (class 1), 164.158 Hình 3: (18). Response Time of NIDS (class 1), 172.876s Hình 3: (19). Number of customer of NIDS (class 2), 300.689 Hình 3: (20). Response Time of NIDS (class 2), 490.908s Hình 3: (21). Number of customer of Servers (class 1), 0.312 ISSN 2354-0575 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology 61 Hình 3: (22). Response Time of Servers (class 1), 0.498s Hình 3: (23). Number of customer of Ethernet (class 1), 0.585 Hình 3: (24). Response Time of Ethernet (class 1), 0.498s Từ Hình 3: (17) đến Hình 3: (24) thể hiện kết quả của số lượng khách hàng trung bình và mức đáp ứng trung bình của hệ thống trong kịch bản 3. Bảng 1. Tổng hợp các giá trị trung bình của kết quả mô phỏng mạng hàng đợi LAN+NIDS Kịch bản 1: Các thời gian phục vụ trung bình, E[S]: Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]= 0.5s Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.1s, Servers và Ethernet có E[S]= 0.5s Tốc độ đến trung bình từ Source (Internet), λ: của các gói thuộc lớp class 1 và class 2 đều bằng 0.5sec-1 E[S]=0.5s Number of customers Response Time Class 1 NIDS 128.088 98.838s Class 1 Servers 0.365 0.500s Class 1 Ethernet 0.699 0.499s E[S]=0.1s Class 2 NIDS 52.305 14.31s Kịch bản 2: Các thời gian phục vụ trung bình, E[S]: Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet E[S]=0.5s Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s Tốc độ đến trung bình từ Source (Internet), λ: của các gói thuộc class 1 và class 2 đều bằng 0.5sec-1 E[S]=0.5s Number of customers Response Time Class 1 NIDS 89.832 59.901s Class 1 Servers 0.349 0.500s Class 1 Ethernet 0.668 0.500s E[S]=0.5s Class 2 NIDS 50.239 64.390s Kịch bản 3: Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=1s, Servers và Ethernet có E[S]=0.5s Tốc độ đến trung bình từ Source (Internet), λ: của các gói thuộc class 1 và class 2 đều bằng 0.5 sec-1 E[S]=0.5s Number of customers Response Time Class 1 NIDS 164.158 172.876s Class 1 Servers 0.312 0.498s Class 1 Ethernet 0.585 0.498s E[S]=0.5s Class 2 NIDS 300.689 490.908s ISSN 2354-0575 Journal of Science and Technology62 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 5. Kết luận và đánh giá Nhận thấy, sự thay đổi thời gian phục vụ trung bình E[S] của NIDS đối với các gói tấn công (job class 2) làm thay đổi đáp ứng trung bình E[R] của NIDS: E[S] càng lớn (tốc độ phục vụ càng chập) thì E[R] càng lớn. Điều này chứng minh mạng hàng đợi mở được đề xuất như cho ở hình 1 là phù hợp cho mô phỏng hiệu năng của NIDS. Tuy nhiên, có thể sử dụng mạng hàng đợi M/M/c/K để phân tích hệ thống NIDS với sự hữu hạn (K chỉ giá trị hữu hạn của tài nguyên của NIDS) của công suất xử lý của NIDS đối với trường hợp tấn công dạng DoS làm đầy bộ đệm của NIDS, khi đó xác suất mất gói ở NIDS khi số gói tin đạt tới K. Với xác suất mất gói tại NIDS thì NIDS cũng không còn khả năng đưa ra cảnh báo chính xác nữa. Cũng thể dùng mạng hàng đợi để phân tích hệ thống NNIDS kết hợp của HIDS và NIDS. Sự nâng cấp công nghệ của hệ thống NIDS bằng các giải pháp, ví dụ: ứng dụng kiến trúc tính toán song song - đa xử lý - đa nhân, các thuật toán, các phương pháp an ninh, hay ứng dụng trí tuệ nhân tạo sẽ làm tốc độ phục vụ trung bình của NIDS tăng lên, nghĩa là E[S] giảm đi, và làm đáp ứng trung bình của NIDS giảm, hiệu năng của NIDS tăng. Ngoài những công cụ đo đạc thông dụng chạy trên các hệ thống giám sát sẵn có trên các hệ thống quản lý mạng, thì giải pháp ứng dụng mạng hàng đợi để mô hình hóa và phân tích hiệu năng của NIDS có thể hữu ích trong thiết kế và nâng cấp các mạng LAN có cài đặt các hệ thống bức tường lửa. Tài liệu tham khảo [1]. Hồ Khánh Lâm, (2015), “Mạng hàng đợi và chuỗi Markov: lý thuyết và ứng dụng”, NXB KHKT. [2]. Sergey Zapechnikov, Natalia Miloslavskaya, Alexander Tolstoy, “Analysis of Intrusion Detection and Prevention Systems as Queueing Services”, Cyberneticsand Information Security Faculty, Information Security of BankingSystems Department, National Research Nuclear University MEPhI (Moscow Engineering Physics Institute), Moscow, Russia. Switzerland, Crans-Montana, 24 March 2016. [3]. Wei T. Yue, Metin Cakanyildirim, Young U. Ryu, “A Queuing Formulation of Intrusion Detection with Active and Passive Responses”, Department of Information Systems and Operations Management School of Management The University of Texas at Dallas Richardson, Texas 75083-0688, USA. [4]. Khaled Salah, “Performance Modeling and Analysis of Network Firewalls”. IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT, VOL. 9, NO. 1, MARCH 2012. [5]. Preeti Saini Ms. Sunila Godara, “Modelling Intrusion Detection System using Hidden Markov Model: A Review”. International Journal of Advanced Research in Computer Science and Software Engineering. Volume 4, Issue 6, June 2014. ISSN: 2277 128X. [6]. Amit Kumar Choudhary and Akhilesh Swarup, “Performance of Intrusion Detection System using GRNN”. IJCSNS International Journal of Computer Science and Network Security, Vol.9, No.12, December 2009. [7]. Devarakonda, Nagaraju, et al. “Intrusion Detection System using Bayesian Network and Hidden Markov Model.” Procedia Technology 4 (2012): 506-514. [8]. Khosronejad, Mahsa, et al. “Developing a Hybrid Method of Hidden Markov Models and C5. 0 as a Intrusion Detection System.” International Journal of Database Theory & Application 6.5 (2013). [9]. John C.S. Lui, “Introduction to Queueing Networks”. Department of Computer Science & Engineering The Chinese University of Hong Kong. [10]. Politecnico di Milano Italy, Imperial College London, “JMT Java Modelling Tools, user manual for JMT version 1.0.1 and above, May 4th, 2017”. users_Manual.pdf. PERFORMANCE ANALYSIS OF INTRUSION DETECTION SYSTEM NETWORK-BASED (NIDS) USE QUEUE NETWORK Abstract: Intrusion detection systems (IDS) play an important and necessary role in the LAN connection structure to ensure the security of a facility: public authorities, businesses, schools, etc... Today, the increase in network attacks is increasing the demand big about types IDS. The technology of IDS, security solutions that IDS perform increased performance in ensuring network security. Therefore, the performance analysis of IDS is a problem be interested, research. This paper proposes the use of a queue model to analyze the performance of Intrusion detection system Relies on network connection, one of the consequence methods (one of the effective methods). Keywords: NIDS, performance, LAN, network queue.
File đính kèm:
- phan_tich_hieu_nang_cua_he_thong_phat_hien_xam_nhap_dua_tren.pdf