Các nhà khoa học máy tính ở Mỹ đang nỗ lực áp dụng các kỹ thuật máy học để phát triển các hệ thống phòng thủ mạng kiểu honeypot hiệu quả hơn.
Cái gọi là "kỹ thuật lừa dối" (deception technology) đề cập đến các "bẫy" hoặc hệ thống "mồi nhử" được đặt trong môi trường mạng cần theo dõi và bảo vệ theo một chiến lược phù hợp.
Các hệ thống mồi nhử này được thiết kế để hoạt động như một honeypot để một khi kẻ tấn công đã xâm nhập vào mạng, chúng sẽ cố gắng tấn công vào các bẫy- từ đó phát sinh các cảnh báo bảo mật trong quá trình này.
"kỹ thuật lừa dối" như "cyber-deception" không phải là một khái niệm mới. Các công ty bao gồm Illusive Networks và Attivo đã làm việc trong lĩnh vực này trong vài năm. Tuy nhiên, giờ đây, các nhà nghiên cứu từ Đại học Texas tại Dallas (UT Dallas) đang hướng tới việc đưa khái niệm này lên một bước xa hơn.
Giới thiệu hệ thống DeepDig
Kỹ thuật DeepDig (DEcEPtion DIGging) mà nhóm nghiên cứu này đề xuất bao gồm việc đặt bẫy và mồi nhử vào các hệ thống thực trước khi áp dụng kỹ thuật máy học để hiểu sâu hơn về hành vi của kẻ tấn công. Kỹ thuật này được thiết kế để sử dụng “các cuộc tấn công mạng làm nguồn dữ liệu đào tạo trực tiếp miễn phí cho các hệ thống phát hiện xâm nhập dựa trên máy học”.
Khi đó, mô hình nguyên mẫu (prototype) này lại thu hút những kẻ tấn công làm người thử nghiệm thâm nhập (pentester) miễn phí cho hệ thống mạng đang vận hành.
Tiến sĩ Kevin Hamlen, giáo sư khoa học máy tính tại UT Dallas, giải thích: “Các công ty như Illusion Networks, Attivo và nhiều công ty khác… tạo ra các cấu trúc liên kết mạng nhằm mục đích gây nhầm lẫn cho đối thủ, khiến họ khó tìm thấy tài nguyên thực sự để tấn công”.
Tiến sĩ Hamlen, nói với The Daily Swig, khuyết điểm của các phương pháp tiếp cận hiện tại là “những hành vi lừa dối như vậy không học được từ các cuộc tấn công”.
Ông nói: “Trong khi hàng phòng thủ vẫn ở mức tương đối tĩnh, theo thời gian, kẻ tấn công học được cách phân biệt honeypots với tài nguyên thực, dẫn đến một trò chơi bất đối xứng mà cuối cùng đối thủ sẽ thắng với xác suất cao.
“Ngược lại, DeepDig biến tài nguyên thực (real assets) thành những cái bẫy học được từ các cuộc tấn công sử dụng trí tuệ nhân tạo và khai thác dữ liệu từ chúng”.
Học hỏi từ các cuộc tấn công
Theo Tiến sĩ Hamlen, biến tài nguyên thực thành một dạng “honeypot” có rất nhiều lợi thế.
Ông nói: “Ngay cả kẻ tấn công lành nghề nhất cũng không thể tránh được việc tương tác với những cái bẫy theo kiểu này bởi vì bẫy nằm trong tài nguyên thực sự là mục tiêu của đối thủ, chứ không phải là một máy tính khác hay một phần mềm riêng biệt,” ông nói.
"Điều này giúp tạo ra một trò chơi đối xứng, trong đó hàng thủ (defense) liên tục học hỏi và trở nên tốt hơn trong việc ngăn chặn ngay cả những kẻ tấn công lén lút nhất."
Nghiên cứu này- được thực hiện trong môi trường có các ứng dụng trong lĩnh vực bảo mật web - đã được trình bày trong một bài báo (PDF) có tựa đề 'Cải thiện công cụ phát hiện xâm nhập bằng Crook-Sourcing', tại Hội nghị ứng dụng bảo mật máy tính ở Puerto Rico gần đây.
Các thuật toán được công bố
Nghiên cứu DeepDig được tài trợ bởi chính phủ liên bang Hoa Kỳ. Các thuật toán và dữ liệu đánh giá được phát triển cho đến nay đã được phát hành công khai kèm theo bài báo nghiên cứu. Người ta hy vọng rằng nghiên cứu cuối cùng có thể tìm được lối đi để biến thành các sản phẩm thương mại , nhưng điều này vẫn còn một thời gian nữa và công nghệ này vẫn chỉ ở giai đoạn thử nghiệm.
“Trên thực tế, các công ty thường hợp tác với một trường đại học đã tiến hành nghiên cứu mà họ quan tâm để tạo ra một sản phẩm đầy đủ,” một phát ngôn viên của UT Dallas giải thích. “Dự án của Tiến sĩ Hamlen vẫn chưa ở giai đoạn đó.”
Theo PortSwigger
