Tải bản đầy đủ (.doc) (93 trang)

tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.02 MB, 93 trang )

Đồ án tốt nghiệp
LỜI CẢM ƠN
Để có thể hoàn thành được đồ án tốt nghiệp này là một quá trình tích
lũy kiến thức lâu dài dưới mái trường học viện. Trong quá trình đó, học tập
của em đã nhận được sự hướng dẫn, giúp đỡ rất tận tình của Thầy Cô, bạn bè.
Em xin chân thành gửi lời cảm ơn đến tất cả các Thầy Cô giáo của Học
Viện Kỹ thuật mật mã đã tận tình hướng dẫn và truyền đạt kiến thức cho em,
nó sẽ là hành trang quý giá nhất cho em bước vào đời.
Em xin chân thành cảm ơn Tiến sỹ Nguyễn Hông Quang tận tình chỉ
bảo và đóng góp ý kiến trong trong suốt quá trình em làm đồ án tốt nghiệp
này.
Em xin cảm ơn các Thầy Cô trong khoa An toàn thông tin đã tạo điều
kiện cho em hoàn thành tốt đồ án tốt nghiệp này.
Cuối cùng em cũng xin cảm ơn gia đình, bạn bè những người thân luôn
bên cạnh động viên, giúp đỡ và tạo mọi điều kiện thuận lợi cho em.
Do còn hạn chế về kiến thức và kinh nghiệm nên luân văn còn nhiều
thiếu sót em rất mong được sự phê bình, đánh giá và góp ý của thầy cô và các
bạn.
Em xin chân thành cảm ơn!
Hà nội, Ngày Tháng 06 Năm 2009.
Sinh viên
Lê Minh Hùng
1
Đồ án tốt nghiệp
MỤC LỤC
LỜI CẢM ƠN 1
MỤC LỤC 2
MỞ ĐẦU 5
CHƯƠNG I 7
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 7
1.1. Tổng quan về các nguy cơ an ninh 7


1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống 7
1.1.1.1. Kiểu tấn công thăm dò 7
1.1.1.2. Kiểu tấn công truy cập 8
1.1.1.3. Kiểu tấn công từ chối dịch vụ 9
1.1.1.4. Kiểu tấn công qua ứng dụng web 10
1.1.2. Vấn đề bảo mật hệ thống mạng 12
1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng 12
1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính 13
1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng 14
1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp 16
1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập 17
1.2.1. Định nghĩa 17
1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS 18
1.2.3. Những ưu điểm và hạn chế của hệ thống 19
1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập 19
1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS 19
1.2.4.2. Mô hình, cấu trúc và hoạt động của hệ thống 21
CHƯƠNG II 30
HỆ THỐNG PHẦN MỀM PHÁT HIỆN XÂM NHẬP SNORT 30
2.1. Tổng quan về Snort 30
2.1.1. Khái niệm 30
2.1.2. Các đặc tính 30
2.2. Các thành phần của Snort 32
2.2.1. Bộ phận giải mã gói 32
2.2.2. Bộ phận xử lí trước 33
2.2.3. Bộ phận phát hiện 34
2.2.3.1. Những biểu thức thông thường cho SQL injection 34
2
Đồ án tốt nghiệp
2.3.2.2. Những biểu thức thông thường cho CSS 38

2.2.4. Hệ thống ghi và cảnh báo 41
2.2.5. Bộ phận đầu ra 41
2.3. Các chế độ làm việc của Snort 42
2.3.1. Chế độ “lắng nghe” mạng 42
2.3.2. Chế độ phát hiện xâm nhập mạng 44
2.4. Làm việc với tập luật của Snort 45
2.4.1. Luật dở đầu tiên: 46
2.4.2. Cấu trúc chung của luật trong Snort 46
2.4.2.1. Rule header 46
2.4.2.2. Rule option 48
CHƯƠNG III 56
TRIỂN KHAI SNORT BẢO VỆ HÊ THỐNG MẠNG 56
3.1. Tiêu chí triển khai 56
3.1.2. Một số chú ý khi triển khai 56
3.1.2. Các hệ thống và mạng phải giám sát 57
3.1.3. Tạo các điểm kết nối 58
3.1.4. Lưu lượng mã hóa 58
3.1.5. Bảo mật bộ cảm biến Snort 59
3.1.6. Chọn một hệ điều hành 59
3.1.7. Cấu hình các giao diện 60
3.2. Xây dựng snort bảo vệ hệ thống mạng 61
3.2.1. Tham khảo một số mô hình thực tế 61
3.2.2. Xây dựng mô hình 63
3.4. Triển khai cơ sở hạ tầng 65
3.4.1. Cấu hình 65
3.4.2. Cài đặt snort trong hệ thống ubuntu 65
3.4.3. Cấu hình với file Snort.conf 69
3.5. Phân tích snort bảo vệ hệ thống trước các cuộc tấn công 75
3.5.1. Mô hình tấn công 75
3.5.2. Tấn công Dos 75

3.5.2.1. Kịch bản tấn công 75
3.5.2.2. Phân tích kỹ thuật tấn công của hacker 76
79
3.5.2.3. Kết luận 79
3.5.3. Tấn công sql injection 79
3.5.3.1. Kịch bản tấn công 80
3.5.3.2. Phân tích tấn công 81
3
Đồ án tốt nghiệp
3.5.3.3 Kết luận 85
KẾT LUẬN 86
1. Những vấn đề gặp phải khi sử dụng IDS 86
2. IPS là giải pháp: 86
3. Đánh giá và xu hướng phát triển của IDS 87
BẢNG KÝ HIỆU VIẾT TẮT 89
PHỤ LỤC HÌNH ẢNH 90
PHỤ LỤC CÁC BẢNG 92
TÀI LIỆU THAM KHẢO 93
4
Đồ án tốt nghiệp
MỞ ĐẦU
Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hòa
mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong
những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các
cơ quan, doanh nghiệp, tổ chức với Internet. Ngày nay, các biện pháp an toàn
thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu
và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ
chức bị đánh cắp thông tin, …gây nên những hậu quả vô cùng nghiêm trọng.
Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên
Internet, các máy tính của các công ty lớn như Microsoft, IBM, các trường đại

học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng, …một số vụ tấn
công với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa
những con số này chỉ là phần nổi của tảng băng trôi. Một phần rất lớn các vụ
tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo
mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết
những vụ tấn công nhằm vào hệ thống của họ.
Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp
tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên
quản trị hệ thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối vào mạng
Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự
sát.
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải hòa mình vào
mạng toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin trong
quá trình kết nối. Bởi vậy, em đã quyết định chọn đề tài”Tìm hiểu và nghiên
cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập”, nhằm
giám sát luồng thông tin ra, vào và bảo vệ các hệ thống mạng khỏi sự tấn
công từ Internet. Nội dung đề tài này sẽ trình bày một cách khái quát về hệ
thống phát hiện và phòng chống xâm nhập(IDS&IPS), cách bảo vệ mạng
bằng Snort, cách xây dựng Snort trên hệ thống mã nguồn mở sao cho hệ
thống vừa an toàn vừa tiết kiệm một cách tối đa.
Nội dung chính của đề tài gồm 3 chương như sau:
5
Đồ án tốt nghiệp
Chương 1: Tổng quan về hệ thống phát hiện và phòng chống xâm
nhập.
Chương này mô tả khái niệm, vai trò và những ưu nhược điểm của hệ
thống phát hiện nhập, nghiên cứu mô hình kiến trúc và hoạt động của hệ
thống phát hiện và phòng chống xâm nhập
Chương 2: Cấu trúc snort, chức năng snort, luật snort.
Nghiên cứu về hệ thống Snort bao gồm: cấu trúc, các thành phần, chế

độ làm việc, tập luật của Snort.
Chương 3: Triển khai snort trên một hệ thống mạng.
Phân tích và đánh giá hoạt động của Snort thông qua mô phỏng một vài
kiểu tấn công mạng.
6
Đồ án tốt nghiệp
CHƯƠNG I
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1. Tổng quan về các nguy cơ an ninh.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở
thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an
ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu
của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian,
các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng
trở nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa
trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một
cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các
hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc
tấn công nhằm vào điểm yếu của hệ thống.
1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống.
Có bốn kiểu tấn công đặc biệt là:
 Thăm dò.
 Truy cập.
 Từ chối dịch vụ (DoS).
 Ứng dụng web.
1.1.1.1. Kiểu tấn công thăm dò.
Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng
hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được
tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể
tấn công cái gì trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng

muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí
của chúng và đường thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là
một giai đoạn tấn công.
7
Đồ án tốt nghiệp
Hình 1: Tấn công thăm dò IP.
1.1.1.2. Kiểu tấn công truy cập.
Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi
hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo
mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là
truy cập vào hệ thống:
a). Tấn công truy cập hệ thống: Truy cập hệ thống là hành động nhằm
đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở đó hacker
không có tài khoản sử dụng. Hacker thường tìm kiếm quyền truy cập đến một
thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking
tool), hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang
chạy trên máy chủ.
b). Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện
khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn
giản như việc tìm phần mềm chia sẻ (share) trên máy tính Window 9x hay
NT, hay khó hơn như việc cố gắng xâm nhập một hệ thống tín dụng của cục
thông tin (credit bureau’s information).
c). Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là
một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có
thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban
đầu không được cho phép truy cập. Khi hacker đạt được mức độ quyền truy
cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses,
cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker
là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích
đó, họ có toàn quyền điều khiển hệ thống mạng.

8
Đồ án tốt nghiệp
1.1.1.3. Kiểu tấn công từ chối dịch vụ.
Kiểu tấn công DoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng
, hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng
những hệ thống này của người dùng. Dạng phạm tội điện tử này là dạng tấn
công tồi tệ nhất mà các công ty thương mại điện tử phải đối mặt bởi vì mục
đích duy nhất của hacker là ngăn chặn người dùng sử dụng các dịch vụ điện
tử của các công ty. Ý định của dạng tấn công này chỉ đơn giản nhằm gây tổn
hại và chống lại một công ty trong việc buôn bán.
Hình 2: Tấn công Ddos.
Một hacker với một PC ở nhà phải mất một lượng lớn thời gian tạo ra
đủ lưu lượng mạng để làm quá tải một nhóm máy chủ Internet . Để tấn công
DoS hiệu quả, hacker sử dụng nhiều hệ thống máy tính khác nhau nhằm lấn át
máy chủ (đích). Sử dụng nhiều hệ thống máy tính để tấn công máy chủ hay
mạng được gọi là tấn công từ chối dịch vụ phân phối (DDoS). Dạng tấn công
này đã từng thành công khi tấn công web site của Yahoo!, ebay và CNN.com.
Một hacker liên quan sau đó bị bắt và bị truy tố.
Tấn công Ddos gồm các giai đoạn sau:
9
Đồ án tốt nghiệp
a). Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tượng.
Điều đầu tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xác
định được mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn
đến việc hình thành, chọn lựa những những công cụ và phương pháp phù hợp.
Mục tiêu đơn giản là toàn bộ mục đích của người xâm nhập. Nếu kẻ xâm
nhập có động cơ trả thù thì kiểu tấn công DoS phù hợp với nhu cầu đó. Nếu
kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu mới là
mục tiêu . Khi kẻ xâm nhập tiến hành những bước của một kiểu tấn công, thì
mục tiêu có thể và thường thay đổi Một yếu tố quan trọng khác nữa trong việc

xác định mục tiêu là động cơ đằng sau sự xâm nhập. Hầu hết những script
kiddies (hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi
đó những hacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ,
trả thù, kiếm tiền bất hợp pháp.
b). Giai đoạn hai thăm dò: Giai đoạn thăm dò, như chính tựa đề của
nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông
tin về hệ thống đối tượng. Thông thường những hacker có kinh nghiệm
thường thu thập những thông tin về công ty đối tượng, như là vị trí của công
ty, số điện thoại, tên của những nhân viên, địa chỉ e-mail, tất cả đều hữu dụng
với người xâm nhập có kinh nghiệm.
c). Giai đoạn thứ ba giai đoạn tấn công: Giai đoạn cuối cùng là giai
đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm
nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông
tin đã thu thập được, một vài hacker có thể thực hiện việc tấn công nhiều lần
cho đến khi phát hiện được lỗi bảo mật để có thể khai thác.
1.1.1.4. Kiểu tấn công qua ứng dụng web.
Theo số liệu thống kê từ các công ty bảo mật hàng đầu hiện nay, thời
gian gần đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh
chóng (75% các cuộc tấn công được thực hiện là ở lớp ứng dụng web) Trong
đó hai kĩ thuật tấn công được các hacker sử dụng phổ biến là cross-site
scripting và sql injection và hình sau đây:
10
Đồ án tốt nghiệp
Hình 3: Số liệu tấn công ứng dụng web.
a). Kiểu tấn công cross-site scripting (hay còn gọi là xss): Được các
hacker tiến hành bằng cách nhúng các thẻ script vào một url (uniform
resource locator) và tìm cách lừa người dùng nhấn vào những liên kết này.
Khi đó đoạn mã độc hại này sẽ được thực thi trên máy tính của nạn nhân. Kĩ
thuật thực hiện các cuộc tấn công kiểu này không có gì phức tạp và chủ yếu là
hacker lợi dụng sự tin cậy giữa người dùng và server (bởi vì các url dường

như xuất phát từ nguồn đáng tin cậy) cùng với việc không thẩm tra kĩ càng dữ
liệu vào/ra ở phía server để từ chối phục vụ những url bị chèn thêm các mã
độc hại.
11
Đồ án tốt nghiệp
Hình 4: Tấn công XSS.
b). SQL Injection: Là kỹ thuật liên quan đến chèn các từ khoá, các
lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác trên một cơ
sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điều khiển
quá trình thực thi câu lệnh SQL ở server.
1.1.2. Vấn đề bảo mật hệ thống mạng.
1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng.
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng
chung và hân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử
dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính
đơn lẻ, hoặc một người sử dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông
tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm
bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại.
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt
đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị
vô hiệu hóa bởi những kẻ có ý đồ xấu.
12
Đồ án tốt nghiệp
Trong nội dung đề tài của em là “Tìm hiểu và triển khai hệ thống phát
hiện và phòng chống xâm nhập”. Trong nội dung về lý thuyết của đề tài em
xin trình bày về một số khái niệm sau:
1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính.
a). Đối tượng tấn công mạng (intruder): Đối tượng là những cá nhân
hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm

phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật
trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái
phép. Một số đối tượng tấn công mạng như:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng
các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy
nhập trên hệ thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo
địa chỉ IP, tên miền, định danh người dùng…
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử
dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy
được các thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác
nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có
chủ định, hoặc có thể đó là những hành động vô ý thức…
b). Các lỗ hổng bảo mật: Các lỗ hổng bảo mật là những điểm yếu trên
hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể
xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại
chiếm đoạt tài nguyên bất hợp pháp.
c). Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp
dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và
các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác
nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình
trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản
trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị,
cấu hình và kiểm soát hoạt động của hệ thống và mạng.
13
Đồ án tốt nghiệp
1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng.
a). Các loại lỗ hổng: Có nhiều các tổ chức đã tiến hành phân loại các
dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân

làm ba loại như sau:
Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng
tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá
hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp. Hiện nay chưa có
một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản
thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung
đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này.
Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu
cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống . Có
mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn
lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao
hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất
hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người
đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Một
dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn
C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm,
một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập
trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không
gian bộ nhớ cho từng khối dữ liệu. Để hạn chế được các lỗ hổng loại B phải
kiêm soát chặt chẽ cấu hình hệ thống và các chương trình.
Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có
mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ
hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không
kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì
nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu
sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy
thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên

14
Đồ án tốt nghiệp
mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên
bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet,
Sendmail, ARP, finger
b). Các hình thức tấn công mạng phổ biến:
Scanner: Là một chương trình tự động rà soát và phát hiện những điểm
yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá
hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo
mật trên một Server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những
cổng TCP/UDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử
dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa
tương ứng với dịch vụ mà nó phát hiện ra. Từ đó nó có thể tìm ra điểm yếu
của hệ thống. Các chương trình Scanner có vai trò quan trọng trong một hệ
thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên
một hệ thống mạng.
Password Cracker: Là một chương trình có khả năng giải mã một mật
khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của
một hệ thống. Một số chương trình phá khoá có nguyên tắc hoạt động khác
nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số
thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoá để
tạo ra một danh sách khác theo một logic của chương trình. Khi thấy phù hợp
với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text .
Mật khẩu text thông thường sẽ được ghi vào một file. Biện pháp khắc phục
đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật
khẩu đúng đắn.
Sniffer: Là các công cụ (phần cứng hoặc phần mềm)”bắt” các thông tin
lưu chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.
Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với
nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Mục đích của các

chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung)
trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - từ đó "bắt"
được thông tin. Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì
sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng
như các dịch vụ hệ thống đó cung cấp. Tuy nhiên việc xây dựng các biện pháp
15
Đồ án tốt nghiệp
hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc
Không cho người lạ truy nhập vào các thiết bị trên hệ thống ,quản lý cấu hình
hệ thống chặt chẽ và thiết lập các kết nối có tính bảo mật cao thông qua các
cơ chế mã hoá.
Trojans: Là một chương trình chạy không hợp lệ trên một hệ thống.
Với vai trò như một chương trình hợp pháp. Trojans này có thể chạy được là
do các chương trình hợp pháp đã bị thay đổi mã của nó thành. Tuy nhiên có
những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng
bảo mật thông qua Trojans và kẻ tấn công lấy được quyền root trên hệ thống
và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng
quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người
quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng
và người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống.
1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp.
Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới
những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội
bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên
ngoài vào trong mạng. Việc kiểm soát được những truy cập bất hợp pháp từ
bên ngoài vào cũng như kiểm soát những truy cập không cho phép từ trong
nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của Internet và sự
kết nối mạng nội bộ với Internet thì vấn đề đảm bảo an toàn, an ninh mạng
càng trở nên khó khăn và cần thiết. Hiện nay để bảo mật cho mạng LAN có
nhiều phương pháp trong đó có một số phương pháp phổ biến và đáng tin cậy

đó là:
Mạng riêng ảo (Virtual Private Network- VPN): Là sự mở rộng mạng
riêng của các công ty, tổ chức thông qua sử dụng các kết nối mạng công cộng
hoặc mạng chia sẻ như Internet. VPN cung cấp cho khách hàng đầy đủ các
tính năng mà một kênh thuê riêng có được nhưng với giá thành rẻ hơn do sử
dụng hạ tầng cơ sở mạng công cộng. VPN sử dụng giao thức để tạo đường
hầm truyền tin riêng và các biện pháp an ninh để bảo vệ dữ liệu trên đường
truyền như mã hoá, xác thực…
IDS&IPS:Thuật ngữ IDS&IPS (phát hiện và ngăn chặn) thiết kế trong
xây dựng để phát hiện và ngăn chặn xâm nhập máy tính trái phép. Cũng có
16
Đồ án tốt nghiệp
thể hiểu rằng IDS&IPS là một cơ chế để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network).
Qua quá trình tìm hiểu em thấy rằng IDS&IPS là phương pháp hữu
hiệu và phổ biến nhất hiện nay do nó có nhiều ưu điểm, cung cấp những tính
năng bảo mật tốt cho vấn đề bảo vệ an ninh mạng hiện nay. Trong khuôn khổ
bài báo cáo này em xin trình bày về phương pháp bảo mật mạng LAN bằng
IDS&IPS.
1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập.
1.2.1. Định nghĩa.
a). Hệ thống phát hiện xâm nhập (Intrusion Detection System-
IDS): Kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng
thông tin thu thập được từ những nguồn này, thông báo cho những người có
trách nhiệm khi nó xác định được khả năng có sự xâm nhập. Nếu tường lửa
đóng vai trò như nhân viên bảo vệ cơ quan, kiểm tra mọi người đến và đi thì
hệ thống kiểm tra xâm nhập giống như có một mạng lưới cảm biến để thông
báo cho bạn biết khi có ai đó xâm nhập, họ đang ở đâu và làm gì? Tường lửa
"án ngữ" ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi
vào và đi ra khỏi mạng. Một khi kẻ xâm nhập đã vượt qua được tường lửa,

người đó có thể tung hoành tuỳ trên mạng. Ðó là lý do tại sao hệ thống phát
hiện xâm nhập có vai trò quan trọng.
Hệ thống phát hiện xâm nhập IDS là hệ thống phần mềm hay phần
cứng tự động thực hiện quy trình giám sát các sự kiện diễn ra trong hệ thống
máy tính hay mạng máy tính, phân tích để phát hiện ra những vấn đề an ninh
cho hệ thống
b). Hệ thống phòng chống xâm nhập (Intrusion Prevention System-
IPS): Là một tiến trình giám sát các sự kiện xẩy ra trong một hệ thống hoặc
mạng máy tính và phân tích chúng để có thể tìm ra các dấu hiệu của sự việc
bất thường, đó là những sự vi phạm hay những đe dọa sắp xẩy ra vi phạm tới
chính sách an ninh máy tính, chính sách truy cập, hay hoạt động trái chính
sách chuẩn. Những sự việc bất thường đó do nhiều nguyên nhân như
là:Malware (worms, spyware ), kẻ tấn công đạt được sự truy cập trái phép
vào hệ thống thông qua Internet, và những người dùng hợp pháp lạm dụng
quyền hay cố gắng thêm vào các quyền mà họ không được phép. Mặc dù
17
Đồ án tốt nghiệp
nhiều sự kiện là do bản chất, một số khác là không phải; ví dụ: một người
trong khi đánh sai địa chỉ của một máy tính và tình cờ thử kết nối đến một hệ
thống không được phép.
Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh mới, kết
hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập
IDS, có khả nǎng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc
tấn công công nhằm vào điểm yếu của hệ thống
1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS.
Hệ thống phát hiện xâm nhập IDS có các chức năng chính sau:
a). Phát hiện các nguy cơ tấn công và truy nhập an ninh trái phép.
Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDPS, nó có nhiệm
vụ xác định những tấn công và truy nhập an ninh trái phép vào hệ thống mạng
bên trong. Hệ thống IDPS có khả năng hỗ trợ phát hiện các nguy cơ an ninh

đe dọa mạng mà các hệ thống khác(như bức tường lửa) không có khả năng
phát hiện, kết hợp với hệ thống ngăn chặn xâm nhập IDPS giúp cho hệ thống
chặn đứng, hạn chế các cuộc tấn công, xâm nhập từ bên ngoài.
b). Tăng khả năng hiểu biết về những gì đang hoạt động trên mạng.
IDPS cung cấp khả năng giám sát xâm nhập và khả năng mô tả an ninh để
cung cấp kiến thức tổng hợp về những gì đang chạy trên mạng từ góc độ ứng
dụng cũng như góc độ mạng cùng với khả năng liên kết với phân tích, điều tra
an ninh nhằm đưa ra các thông tin về hệ thống nhờ đó giúp người quản trị
nắm bắt và hiểu rõ những gì đang diễn ra trên mạng.
c). Khả năng cảnh báo và hỗ trợ ngăn chặn tấn công. IDPS có thể
hoạt động trong các chế độ làm việc của một thiết bị giám sát thụ động
(sniffer mode) hỗ trợ cho các thiết bị giám sát chủ động hay như là một thiết
bị ngăn chặn chủ động (khả năng loại bỏ lưu lượng khả nghi). IDPS sẽ hỗ trợ
cho các hệ thống an ninh đưa ra các quyết định về lưu lượng dựa trên địa chỉ
IP hoặc cổng của nguồn thông tin cũng như là đặc tính của tấn công ví dụ như
mẫu tấn công hoặc bất thường về giao thức hoặc lưu lượng tương tác đến từ
những máy chủ không hợp lệ. IDS còn có thể cảnh báo và ghi chép các biến
cố cũng như thực hiện bắt giữ gói lưu lượng khi phát hiện tấn công để cung
cấp cho nhà quản trị mạng các thông tin để phân tích và điều tra các biến cố.
Ngay sau khi các phép phân tích và điều tra được thực hiện, một quy tắc loại
18
Đồ án tốt nghiệp
bỏ lưu lượng sẽ được đưa ra dựa trên kết quả phân tích, điều tra đó. Chính tổ
hợp của những thuộc tính và khả năng này cung cấp cho nhà quản trị mạng
khả năng tích hợp IDPS vào mạng và tăng cường an ninh đến một mức độ mà
trước đây không thể đạt đến bằng các biện pháp đơn lẻ như bức tường lửa.
1.2.3. Những ưu điểm và hạn chế của hệ thống.
a). Ưu điểm.
Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nhập từ
bên trong cũng như bên ngoài hệ thống.

Những thông tin hệ thống IDPS cung cấp sẽ giúp chúng ta xác định
phương thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc đề ra các
phương án phòng chống các kiểu tấn công tương tự xảy ra trong tương lai
b). Hạn chế.
Bên cạnh những ưu điểm, hệ thống phát hiện xâm nhập IDS vẫn còn
tồn tại những mặt hạn chế: Hệ thống IDPS là một hệ thống giám sát thụ động,
cơ chế ngăn chặn các cuộc tấn công, xâm nhập trái phép rất hạn chế như gửi
tin báo cho tường lửa để chặn các gói lưu lượng kế tiếp xuất phát từ địa chỉ IP
của nguồn tấn công. Do vậy, hệ thống IDPS thường đi kèm với hệ thống bức
tường lửa. Phần lớn, hệ thống IDPS sẽ đưa ra các cảnh báo khi các cuộc tấn
công, xâm nhập đã ảnh hưởng tới hệ thống do đó sẽ không hiệu quả trong
việc ngăn chặn các cuộc tấn công.
1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập.
1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS.
Hệ thống phát hiện xâm nhập có thể được chia làm hai loại chính sau
đây:Hệ thống phát hiện xâm nhập trên máy trạm, hệ thống phát hiện xâm
nhập trên mạng.
a). Hệ thống phát hiện và phát hiện và phòng chống xâm nhập trên
máy trạm(Host-based Instrusion Detection System-HIDS).
19
Đồ án tốt nghiệp
Hình 5: Hệ thống phát hiện xâm nhập dựa máy trạm.
Hệ thống HIDS thực hiện thu thập các thông tin từ một hệ thống máy
tính riêng biệt, từ đó thực hiện phân tích các hoạt động diễn ra trên máy trạm.
Ưu điểm của HIDS là có khả năng giám sát các tiến trình của hệ điều
hành chạy trên máy trạm và bảo vệ các nguồn tài nguyên quan trọng của hệ
thống như một số tệp dữ liệu cực kỳ quan trọng chỉ lưu trên một số máy trạm.
b). Hệ thống phát hiện xâm nhập trên mạng (Network–based
Instrusion Detection System–NIDS).
NIDS sử dụng, triển khai các thiết bị theo dõi được gọi là bộ cảm ứng

(Sensor) để giám sát các lưu lượng và hoạt động trong một khu vực mạng.
Các bộ cảm ứng này sẽ kiểm tra các gói tin và nội dung bên trong nó để xác
định sự tấn công
20
Đồ án tốt nghiệp
Hình 6: Hệ thống phát hiện xâm nhập trên mạng.
c). So sánh giữa hệ thống HIDS và NIDS.
NIDS HIDS
Áp dụng trong phạm vi rộng (theo
dõi toàn bộ hoạt động của mạng)
Áp dụng trong phạm vi một máy
trạm
Phát hiện tốt những tấn công, xâm
nhập từ bên ngoài
Phát hiện tốt những tấn công, xâm
nhập từ bên trong.
Phát hiện dựa trên các dữ liệu,
thông tin thu thập trong toàn bộ
mạng
Phát hiện dựa trên thông tin, dữ liệu
trên máy trạm
Độc lập với hệ điều hành Phụ thuộc vào hệ điều hành trên
máy trạm
Tiết kiệm kinh phí khi triển khai Yêu cầu chi phí cao
Dễ dàng cài đặt, triển khai Phức tạp khi cài đặt, triển khai
Bảng 1: So sánh HIDS và NIDS.
1.2.4.2. Mô hình, cấu trúc và hoạt động của hệ thống.
Một hệ thống phát hiện xâm nhập IDPS được xem là thành công nếu
chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, phân tích được toàn
bộ lưu lượng và đưa ra các cảnh báo chuẩn xác về các cuộc tấn công và xâm

nhập vào bên trong hệ thống.
21
Đồ án tốt nghiệp
a). Mô hình hệ thống phát hiện xâm nhập IDPS mức vật lý.
Hình 7: Mô hình IDPS mức vật lý.
Hệ thống phát hiện xâm nhập mức vật lý bao gồm ba thành phần chính
sau đây:
Bộ cảm ứng (Sensor): các sensor và agent sẽ theo dõi và hoạt động ghi
lại. Thuật ngữ sensor là tiêu biểu cho IDPS trong việc theo dõi mạng, bao
gồm network-base, wireless, và công nghệ NBA. Thuật ngữ agent sử dụng
cho công nghệ IDPS host-base.
Máy chủ lưu trữ dữ liệu trung tâm (Centralize database server): là thiết
bị trung tâm thu nhận thông tin từ Sensor hoặc Agent và quản lý chúng. Một
số Management Server thực hiện phân tích thông tin do Sensor hoặc Agent
cung cấp và có thể xác định các sự kiện mà Sensor và Agent không phát hiện
được. Làm cho phù hợp các thông tin về sự kiện từ nhiều Sensor hoặc Agent,
như là tìm ra sự nhiều kiện gây ra bởi cùng một địa chỉ IP, biết đến như là sự
tương quan. Management servers có thể hoạt động cho cả thiết bị chuyên
dụng cũng như các phần mềm. Một số IDPS nhỏ không triển khai
Management servers nhưng hầu hết các hệ thống IDPS đều có. Trong các
IDPS lớn thường triển khai nhiều Management servers, trong một số trường
hợp còn có 2 lớp Management servers.
Giao diện người dùng (User Interface): là một chương trình cung cấp
giao diện cho người dùng hoặc người quản trị IDPS. Phần mềm console tiêu
22
Đồ án tốt nghiệp
biểu được cài đặt trên Desktop hoặc Laptop. Một số console chỉ dành riêng
cho người quản trị, như là cấu hình sensor hoặc agent, ứng dụng update các
phần mềm, trong khi các console khác hoàn toàn dành cho giám sát và phân
tích. Một số console cung cấp cả khả năng quản trị và giám sát.

Mô hình trên còn gọi là mô hình 3 lớp, mô hình này cung cấp cho nhà
quản trị mạng sự linh hoạt để truy cập vào hệ thống từ bất cứ đâu để thực hiện
quản lý từ xa. Máy chủ quản lý tập trung lưu giữ tất cả các bản ghi và thông
tin trong một cơ sở dữ liệu thuận tiện cho việc truy cập, quản lý. Các bản ghi,
dữ liệu được thu thập từ những bộ cảm biến độc lập được tập hợp lại nhằm
phân tích, đánh giá để phát hiện các nguy cơ đe dọa hệ thống từ bên ngoài.
b). Cấu trúc và hoạt động bên trong hệ thống phát hiện xâm nhập
IDS.
Hình 8: Hệ thống phát hiện xâm nhập IDS.
Hệ thống phát hiện xâm nhập bao gồm 3 modul chính:
Modul thu thập thông tin, dữ liệu: Modul này có nhiệm vụ thu thập các
gói tin trên mạng để đem phân tích. Một vấn đề đặt ra trong thực tế là chúng
ta cần triển khai hệ thống phát hiện xâm nhập IDS ở vị trí nào trong mô hình
mạng của chúng ta. Thông thường chúng ta sẽ đặt IDS ở những nơi mà chúng
23
Đồ án tốt nghiệp
ta cần giám sát. Có hai mô hình chính để thu thập dữ liệu đó là: mô hình
ngoài luồng và mô hình trong luồng. Phần tiếp theo dưới đây, chúng ta sẽ tìm
hiểu chi tiết hai mô hình triển khai hệ thống IDS trong hệ thống mạng.
Mô hình thu thập dữ liệu ngoài luồng. Trong mô hình ngoài luồng
không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào ra hệ thống
mạng sẽ được sao thành một bản và được chuyển tới modul thu thập dữ liệu .
Với vị trí này, hệ thống phát hiện xâm nhập IDS không làm ảnh hưởng tới tốc
độ lưu thông của mạng.
Hình 9: Mô hình thu thập dữ liệu ngoài luồng.
Mô hình thu thập dữ liệu trong luồng: Trong mô hình này, hệ thống
phát hiện xâm nhập IDS được đặt trực tiếp vào luồng dữ liệu vào ra trong hệ
thống mạng, luồng dữ liệu phải đi qua hệ thống phát hiện xâm nhập IDS trước
khi đi vào trong mạng.
Hình 10: Mô hình thu thập dữ liệu trong luồng.

Ưu điểm của mô hình này, hệ thống phát hiện xâm nhập IDS nằm trên
luồng dữ liệu, nó trực tiếp kiểm soát luồng dữ liệu, đáp ứng được thời gian
thực (realtime). Tuy nhiên nó có nhược điểm là ảnh hưởng đáng kể đến tốc độ
lưu thông của mạng.
24
Đồ án tốt nghiệp
Modul phân tích, phát hiện tấn công: Đây là modul quan trọng nhất
trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Hệ thống phát hiện
xâm nhập thực hiện quá trình phân tích dữ liệu trong modul này được chia
thành các giai đoạn:
Tiền xử lý – Preprocessing.
Phân tích – Analysis.
Cảnh báo – Alter manager.
Tiền xử lý – Preprocessing: Tiền xử lý là một chức năng quan trọng,
một khi dữ liệu được thu thập từ modul thu thập thông tin, dữ liệu. Trong
bước này, dữ liệu được sắp xếp theo từng phân loại, phân lớp. Giai đoạn này
sẽ xác định định dạng của của dữ liệu đưa vào. Khi dữ liệu được định dạng,
chúng sẽ được chia nhỏ theo từng phân loại. Ngoài ra, nó có thể tái định dạng
gói tin (defragment), sắp xếp theo chuỗi.
Phân tích – Analysis: Ngay sau khi quá trình tiền xử lý kết thúc, quá
trình phân tích sẽ bắt đầu diễn ra. Hiện nay, hệ thống phát hiện xâm nhập IDS
dựa trên hai phương pháp chính để phát hiện các cuộc tấn công, xâm nhập đó
là:Phát hiện dựa trên luật và phát hiện dựa trên bất thường.
Phát hiện dựa trên luật (Rule – Based Detection): Phát hiện dựa trên
luật hay còn gọi là phát hiện trên chữ ký, xét phù hợp mẫu hay phát hiện vi
phạm, là phương pháp đầu tiên sớm được sử dụng trong các hệ thống phát
hiện xâm nhập. Phát hiện dựa trên luật sử dụng so sánh mẫu để phát hiện các
mẫu tấn công đã biết.
Ví dụ: để xác định xem có phải ai đó đang cố gắng đăng nhập vào một
máy chủ dưới danh nghĩa của một người sử dụng gốc (Root User), một hệ

thống phát hiện xâm nhập dựa trên luật sẽ phát cảnh báo bất cứ khi nào từ
khóa “root” xuất hiện trong luồng lưu lượng. Tuy nhiên nó có thể là một cảnh
báo nhầm, để hạn chế sự nhầm lẫn hệ thống sẽ chỉ tìm kiếm chuỗi ký tự
“root” trong chuỗi ký tự đăng nhập, và đó là một phương pháp phát hiện tấn
công có độ chính xác cao. Một ví dụ khác, chúng ta xem xét một kiểu tấn
công Sendmail Wiz, đó là một dạng tấn công cố gắng chiếm quyền truy nhập
gốc đến máy chủ SMTP. Để thực hiện tấn công, kẻ tấn công thiết lập một kết
nối SMTP và gửi mẫu “wiz” trong kết nối điều khiển. Một hệ thống phát hiện
tấn công cần phải nhận dạng mẫu “wiz” để đưa ra cảnh báo.
25

×