1
PGS. TSKH. Hoàng Đăng Hải
Học viện Công nghệ Bưu chính Viễn thông (PTIT)
Email:
2012
Mô h
Mô h
ì
ì
nh, nguyên lý, k
nh, nguyên lý, k
ỹ
ỹ
thu
thu
ậ
ậ
t
t
đ
đ
ả
ả
m b
m b
ả
ả
o an ninh m
o an ninh m
ạ
ạ

o an ninh m
ạ
ạ
ng
ng


Ph
Ph
á
á
t hi
t hi
ệ
ệ
n v
n v
à
à
ch
ch
ố
ố
ng xâm nh
ng xâm nh
ậ
ậ
p trên m
p trên m
ạ

ả
o v
o v
ệ
ệ
h
h
ệ
ệ
th
th
ố
ố
ng thông tin trên m
ng thông tin trên m
ạ
ạ
ng
ng
3
C
C
á
á
c mô h
c mô h
ì
ì
nh, n
nh, n

Intreface
Process
Data
Host Host
Data
Process
Login control Access control
Channel
Security
 Bảo vệ mức vật lý: khóa phòng, các thiết bị kiểm soát, cáp…
 Bảo vệ mức giao diện hệ thống: kiểm soát đăng nhập (ví dụ: với mật khẩu…)
 Bảo vệ truy cập, sử dụng hệ thống: kiểm soát truy nhập, quyền sử dụng
 Bảo vệ mức mạng: kết nối, các nút mạng, mã hóa dữ liệu…
5
Mô h
Mô h
ì
ì
nh an ninh trong
nh an ninh trong
truy
truy
ề
ề
n thông m
n thông m
ạ
ạ
ng (1)
ng (1)

c quan h
c quan h
ệ
ệ
x
x
á
á
c th
c th
ự
ự
c
c
8
Mô h
Mô h
ì
ì
nh an ninh trong truy c
nh an ninh trong truy c
ậ
ậ
p m
p m
ạ
ạ
ng
ng
9

T
ổ
ổ
ng quan c
ng quan c
á
á
c mô h
c mô h
ì
ì
nh an ninh m
nh an ninh m
ạ
ạ
ng
ng
• Mô hình Bell LaPadula (trạng thái hữu hạn, phân mức nhạy cảm)
• Mô hình Biba (BLP+ cấp+ tập chính sách)
• Mô hình Harrison-Ruzzo-Ullman (BLP + cấp phép)
• Mô hình chính sách Unix System V/MLS Security Policy
• Mô hình lưới mắt cáo của luồng tin (Lattice Model of Information Flow)
• Mô hình không can thiệp (Noninterference Security Model)
• Mô hình Clark-Wilson
• Mô hình Chinese Wall
• Các mô hình kiểm soát truy nhập theo vai trò (Role-Based Access Control)
• Các mô hình cấp phép dựa theo tác vụ (Task-Based Authorisation Models for Workflow)
- Workflow Authorisation Model (WAM)
- Task-Based Authorisation Controls (TBAC)
• Security Models for Object-Oriented Information Systems

ì
nh Bell
nh Bell
-
-
LaPadula (BLP)
LaPadula (BLP)
12
Mô h
Mô h
ì
ì
nh Bell
nh Bell
-
-
LaPadula (BLP)
LaPadula (BLP)
Cho L(S)= ls là cấp an ninh cho chủ thể S.
Cho L(O)= lo là phân loại an ninh cho đối tượng O.
Đối với mọi phân loại thông tin li, (i=0,…, k-1), và (li < li+1) cần có:
• Điều khiện an ninh đơn giản (Đọc dữ liệu): No Read UP
S chỉ có thể đọc O khi và chi khi
lo < = ls (cấp an ninh rộng hơn phân loại đối tượng)
và S có quyền truy nhập để đọc nội dung cụ thể của O.
• Đặc tính “Sao” (*) (Star property) (Ghi dữ liệu): No Write DOWN
S chỉ có thể ghi vào O khi và chỉ khi ls < = lo
(cấp an ninh nhỏ hơn phân loại đối tượng)
Và S có quyền truy nhập để đọc nội dung cụ thể của O.
Chủ thể TS (Top Secret) không thể ghi dữ liệu vào file có phân cấp thấp hơn TS

i ph
i ph
ầ
ầ
n t
n t
ử
ử
c
c
ủ
ủ
a t
a t
ậ
ậ
p L b
p L b
ả
ả
o to
o to
à
à
n đi
n đi
ề
ề
u ki
u ki

ì
ì
m
m
ọ
ọ
i tr
i tr
ạ
ạ
ng th
ng th
á
á
i
i
σ
σ
i
i
,
,
đư
đư
ợ
ợ
c coi l
c coi l
à
à

V
í
í
d
d
ụ
ụ
: Phân c
: Phân c
ấ
ấ
p thư m
p thư m
ụ
ụ
c
c
 Một thư mục với tập các thư mục con, mỗi thư mục gán 1 tên
 Các thư mục ẩn bình thường không hiển thị cho người dùng.
 Khi một tiến trình có tên MAC_A tạo một tệp trong /tmp, nó sẽ tạo
một file trong thư mục ẩn trong /tmp with tên MAC_A
 Thư mục cha của 1 file trong /tmp là thư mục ẩn.
 Mọi tham chiếu đến thư mục cha sẽ đến thẳng thư mục ẩn.
 Tiến trình A với MAC_A sẽ tạo /tmp/a. Tiến trình B với MAC_B sẽ
tạo /tmp/b. Mỗi tiến trình sẽ thực hiện:
“cd /tmp/a; cd ”
Câu lệnh hệ thống: stat(“.”, &stat_buffer) sẽ cho lại số hiệu nút I
khác nhau đối với mỗi tiến trình. Số hiệu nút này là của thư mục ẩn
tương ứng.
15

 Thay đổi quyền truy nhập
 Tạo mới và xóa bỏ các chủ thể và đối tượng
 Mô hình HRU định nghĩa hệ thống cấp phép để giải quyết vấn đề trên.
Khái niệm mô hình:
 Định nghĩa các tập:
 Tập các chủ thể S, Tập các đối tượng O
 Tập các quyền truy nhập R – (Các thao tác truy nhập như BLP)
 Ma trận truy nhập Mso (mô tả trạng thái hệ thống). Mỗi lệnh được ghi nhận bằng
việc thay đổi trạng thái từ M Æ M’
 Định nghĩa 6 thao tác nguyên thủy:
• Enter r into Mso (thêm quyền truy nhập cho Mso)
• Delete r from Mso (xóa quyền truy nhập của Mso)
• Create subject s …………
• Create object o
• Delete subject s
• Delete object o.
Mô hình HRU cho phép:
 Kiểm tra việc cần thiết phải tránh cấp phép quyền truy nhập không mong muốn
 Kiểm chứng các đặc tính an ninh của đối tượng và chủ thể
17
C
C
á
á
c mô h
c mô h
ì
ì
nh lu
nh lu

 Sử dụng các mô hình theo kiểu lưới mắt cáo (lọc thông tin)
Khái niệm mô hình lattice:
 Một luồng tin FM định nghĩa bởi: FM = { N, P, SC, ⊕, Æ }
 N = {a, b, …} là tập các đối tượng logic (ví dụ files, segments, các biến chương
trình…). Mỗi người dùng có thể coi là 1 object.
 P = {p,q,…} là tập các tiến trình. SC = {A, B,…} là tập các lớp an ninh tương ứng với
phân lớp các thông tin.
 Mỗi object a được giới hạn trong một lớp an ninh. Có 2 phương pháp liên kết: liên
kết tĩnh và liên kết động
 ⊕ là toán tử kết hợp lớp. Kết hợp binary của 2 lớp a và b là a⊕b
Ælà biểu thị quan hệ giữa các luồng tin. Ví dụ cho các lớp A, B: AÆ B nghĩa là chỉ
và chỉ khi thông tin của lớp A được phép đưa vào lớp B.
18
Mô h
Mô h
ì
ì
nh Chinese Wall
nh Chinese Wall
 Kiểm soát các quyền truy nhập động
 Dựa trên tập luật truy nhập và giảm thiểu mâu thuẫn về lợi ích theo quy luật:
Không luồng tin nào được gây ra xung đột lợi ích với luồng tin khác
 Cho tập các công ty, Các nhà phân tích= Subjects, Các đơn vị thông tin = Objects
 Objects trong cùng công ty = Tập dữ liệu của công ty
 Các công ty tương tranh = Xung đột giữa các lớp quyền lợi
 Nhãn an ninh đối tượng = cặp (Cdataset, Col Class)
 Thông tin làm sạch = thông tin đã xóa bỏ phần nhạy cảm
Chinese Wall Model:
 Đặc tính ss (ss-Property):
Cấm mọi chủ thể để lộ ra xung đột về quyền lợi

 Các yêu cầu về tính toàn vẹn:
 Tính nhất quán trong: các đặc tính về trạng thái bên
trong hệ thông (có thể thực thi bởi hệ thống)
 Tính nhất quán ngoài: quan hệ trạng thái bên trong
một hệ thống với thế giới bên ngoài (thực thi bởi bên
ngoài – ví dụ kiểm toán).
 Thực thi tính toàn vẹn nghĩa là:
 Giao dịch chuẩn xác
 Phân chia được trách nhiệm.
Các chương trình được dùng làm phương tiện kiểm soát
trung gian cho subject-object.
Subject= chủ thể có quyền thực thi 1 số chương trình.
 Thể hiện tính toàn vẹn:
 Chủ thể được cấp quyền thực hiện một
chương trình trên một đối tượng (data item)
mà đối tượng này có thể được truy nhập từ
chương trình này !
21
Ph
Ph
á
á
t hi
t hi
ệ
ệ
n v
n v
à
à

-Ghi lại thông tin và đưa ra cảnh báo
- Ngăn chặn vi phạm an ninh, vi phạm chính sách, ngăn chặn tấn công
23
Phương pháp phát hiện xâm nhập
-Dựa theo dấu hiệu (signature-based);
-Dựa theo hành vi bất thường (anormaly-based);
-Dựa vào phân tích trạng thái giao thức (stateful protocol analysis).
Phát hiện dựa theo dấu hiệu
•Dấu hiệu (signature) =mẫu tương ứng với một nguy cơ đã biết trước.
•Phát hiện dựa theo dấu hiệu= quá trình so sánh dấu hiệu với những sự kiện quan sát được.
•Dấu hiệu được lưu dưới những file, so sánh trực tiếp với thông tin có trong chuỗi sự kiện.
Phát hiện dựa theo hành vi bất thường
•Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng về hoạt
động bình thường.
• So sánh các sự kiện quan sát được với giá trị ngưỡng bình thường tương ứng để phát hiện
xâm nhập
Phân tích trạng thái giao thức
• So sánh giá trị ngưỡng (đã định nghĩa trước) trạng thái hoạt động bình thường của giao thức
với các sự kiện quan sát được để nhận biết sự khác biệt.
24
Phân tích dấu hiệu và hành vi
signature-detection IDS anomaly-detection IDS
25
Bên trong IDPS