TRẦN

TUẤN

ANH

HỆ

THỐNG

THÔNG

TIN

2012

–

2013

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

TRẦN TUẤN ANH




NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ
XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT








LUẬN VĂN THẠC SĨ KỸ THUẬT















HÀ NỘI

2014



HÀ NỘI - 2014




HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG














TRẦN TUẤN ANH





NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ
XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT


CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ

SỐ:

60.48.01.04








LUẬN VĂN THẠC SĨ KỸ THUẬT





NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. HOÀNG XUÂN DẬU






HÀ NỘI - 2014

i



LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi dưới sự hướng
dẫn của TS. Hoàng Xuân Dậu, kết quả đạt được trong luận văn là sản phẩm của
riêng cá nhân, không sao chép lại của người khác. Trong toàn bộ nội dung của luận
văn, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiều
nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích
dẫn hợp pháp. Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng
được ai công bố trong bất kỳ công trình nào khác.





Hà Nội, tháng 11 năm 2013
Tác giả luận văn





Trần Tuấn Anh




















1
MỤC LỤC


LỜI CAM ĐOAN 1
MỤC LỤC ii
DANH MỤC TỪ VIẾT TẮT iv
DANH SÁCH HÌNH VẼ vi
DANH SÁCH CÁC BẢNG vi
MỞ ĐẦU 1
CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 2
1.1. Khái niệm tấn công đột nhập mạng 2
1.2. Các dạng tấn công 2
1.2.1. Tấn công bằng mã độc 2
1.2.2. Tấn công vào mật khẩu 2
1.2.3. Tấn công từ chối dịch vụ 3
1.2.4. Tấn công giả mạo địa chỉ, nghe trộm 3
1.2.5. Tấn công kiểu phát lại và người đứng giữa 3
1.2.6. Tấn công bằng bom thư và thư rác 3
1.2.7. Tấn công sử dụng cổng hậu 4
1.2.8. Tấn công kiểu Social Engineering 4
1.2.9. Tấn công Pharming 4
1.3. Các phương pháp phát hiện tấn công đột nhập mạng 5
1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu 5
1.3.2. Phương pháp phát hiện dựa trên bất thường 6
1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức 7
1.4. Các hệ thống phát hiện tấn công đột nhập mạng 8
1.4.1. Khái niệm hệ thống phát hiện xâm nhập 8
1.4.2. Chức năng của IDS 8
1.4.3. Phân loại IDS 9
1.4.4. Giới thiệu một số hệ thống IDS 13
1.5. Kết chương 15
CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP

MẠNG 17
2.1. Kiến trúc hệ thống phát hiện đột nhập mạng 17
2.1.1. Thành phần thu thập gói tin (Information collection) 17
iii

2.1.2. Thành phần phân tích gói tin (Detection) 17
2.1.3. Thành phần phản hồi (Response) 18
2.2. Các kỹ thuật thu thập dữ liệu 18
2.2.1. Giới thiệu chung về thu thập dữ liệu 18
2.2.2. Thu thập dữ liệu cho HIDS 18
2.2.3. Thu thập dữ liệu cho NIDS 20
2.2.4. Thu thập dữ liệu dựa trên ứng dụng 22
2.2.5. Thu thập dữ liệu cho IDS tích hợp với ứng dụng 22
2.2.6. Thu thập dữ liệu lai 23
2.3. Tiền xử lý dữ liệu 23
2.4. Các kỹ thuật phát hiện đột nhập mạng 24
2.4.1. Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng 24
2.4.2. Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường 27
2.4.3. Kỹ thuật phát hiện dựa trên đặc trưng 30
2.4.4. Kỹ thuật phát hiện lai 31
2.5. Kết chương 31
CHƯƠNG 3: XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT 32
3.1. Giới thiệu hệ thống phát hiện xâm nhập mạng Snort 32
3.1.1. Giới thiệu chung về Snort 32
3.1.2. Kiến trúc và cơ chế hoạt động của Snort 32
3.1.3. Bộ luật của Snort 37
3.2. Xây dựng mô hình phát hiện xâm nhập Snort cho công ty PAMA 48
3.2.1. Yêu cầu của hệ thống 48
3.2.2. Giải pháp đề xuất cho hệ thống phát hiện xâm nhập 48
3.2.3. Mô hình hệ thống 49

3.2.4. Các công cụ sử dụng trong hệ thống Snort 51
3.3. Thử nghiệm một số kịch bản phát hiện xâm nhập 54
3.3.1. Mô hình thử nghiệm 54
3.3.2. Kịch bản 1 55
3.3.3. Kịch bản 2 56
3.4. Kết chương 59
KẾT LUẬN 60
TÀI LIỆU THAM KHẢO 61


iv

DANH MỤC TỪ VIẾT TẮT

Viết tắt

Tiếng Anh Tiếng Việt
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
NIDS Network Intrusion Detection System

Hệ thống phát hiện xâm nhập cho mạng
HIDS Host Intrusion Detection System
Hệ thống phát hiện xâm nhập cho máy
trạm
SMTP
Simple Network Management
Protocol
Giao thức quản lý mạng đơn giản
DNS Domain Name System Hệ thống tên miền
FPT File Transfer Protocol Giao thức truyền tải file

IP Internet Protocol Giao thức mạng Internet
TCP/IP
Transmission Control Protocol/
Internet Protocol
Bộ giao thức Internet TCP/IP
ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển Internet

UDP User Datagram Protocol Giao thức gói dữ liệu người dùng
MIB Management Information Base Thông tin quản lý cơ sở
MIDAS

Multics Intrusion Detection and
Alerting System
Hệ thống đa phát hiện xâm nhập và c
ảnh
báo
IDES Intrusion Detection Expert System Hệ chuyên gia phát hiện xâm nhập
AAFID
Autonomous Agents For Intrusion
Detection
Tác nhân tự trị phát hiện xâm nhập
NIDES
Next-Generation Intrusion Detection
Expert System
Hệ chuyên gia phát hi
ện xâm nhập thế hệ
tiếp theo
FDDI
Fiber Distributed Data Interface
Giao diện phân tán dữ liệu quang

v

HDLC High-Level Data Link Control Giao thức điều khiển liên kết dữ liệu
SLIP
Serial Line Internet Protocol
Giao thức Internet qua đường moderm

PPP Point to Point Protocol Giao thức điểm điểm
PF Packet Filter
Lọc gói tin
RB Reserved Bit
Bít dự phòng
DF Don’t Fragment Bit
Bit không bị phân mảnh
MF More Fragments Bit
Bít bị phân mảnh
MTU Maximum Transmission Unit
Đơn vị truyền tối đa
TTL Time To Live
Thời gian sống



vi

DANH SÁCH HÌNH VẼ
Hình 1.1: Mô hình chức năng IDS 9
Hình 1.2: Các HIDS trong hệ thống mạng 12
Hình 1.3: Các NIDS trong hệ thống mạng 13
Hình 1.5: Các bước xử lý của Cisco IDS 14

Hình 2.1: Kiến trúc IDS 17
Hình 2.2: Một mô hình phát hiện lạm dụng điển hình 24
Hình 2.3:Mô hình phát hiện bất thường 27
Hình 3.1: Kiến trúc của Snort 33
Hình 3.2: Giải mã gói tin Ethernet 34
Hình 3.3: Cấu trúc luật của Snort 38
Hình 3.4: Header luật của Snort 38
Hình 3.5: Mô hình hệ thống phát hiện xâm nhập Snort công ty PAMA 49
Hình 3.6: Khởi động Snort làm việc với MySQL 53
Hình 3.7: Mô hình thử nghiệm 54
Hình 3.8: Cảnh báo ScanPort trên Base 55
Hình 3.9: Chi tiết các cảnh báo ScanPort 56
Hình 3.10: Mail gửi về cảnh báo ScanPort 56
Hình 3.11: Cảnh báo Alert từ Snort thông qua BASE 57
Hình 3.12: Cảnh báo có tấn công UDP FLOOD 57
Hình 3.13: Chi tiết cảnh báo UDP FLOOD 58
Hình 3.14: Các cảnh báo được gửi về email 58
Hình 3.15: Cảnh báo về UDP FLOOD được gửi về email 59

DANH SÁCH CÁC BẢNG

Bảng 3.2: Các cờ sử dụng với từ khoá Flags 46
1
MỞ ĐẦU

Hiện nay cùng với sự phát triển mạnh mẽ của mạng internet, đảm bảo an
toàn thông tin đang trở thành một yêu cầu quan trọng, thiết yếu đối với lĩnh vực
phát triển công nghệ thông tin cũng như trong mọi hoạt động kinh tế xã hội.
Để đảm bảo an toàn cho thông tin, hệ thống và mạng, phát hiện đột nhập
mạng là một trong các khâu quan trọng trong lớp các giải pháp. Khác với phát hiện

đột nhập cho host, phát hiện đột nhập mạng thường sử dụng nguồn thông tin từ
mạng, chẳng hạn chặn bắt các gói tin truyền qua nút mạng, như bộ định tuyến hoặc
cầu nối. Do lưu lượng mạng thường lớn và tính phức tạp của các dạng tấn công, đột
nhập nên các hệ thống phát hiện đột nhập mạng gặp nhiều thách thức.
Đề tài luận văn "Nghiên cứu các kỹ thuật phát hiện đột nhập mạng và xây
dựng mô hình ứng dụng dựa trên Snort" tập trung nghiên cứu về các các kỹ thuật
phát hiện đột nhập mạng và xây dựng mô hình ứng dụng phát hiện đột nhập cho hệ
thống mạng của công ty PAMA dựa trên hệ thống Snort. Snort là một hệ thống phát
hiện và ngăn chặn đột nhập mạng mã mở được sử dụng rộng rãi. Do Snort được
cung cấp theo dạng mã mở nên người sử dụng có thể tự do sửa đổi và cải tiến theo
yêu cầu. Ngoài ra, Snort hoàn toàn miễn phí nên sẽ tiết kiệm được chi phí triển khai
ban đầu.
Luận văn gồm 3 chương chính với các nội dung sau:
Chương 1 – Tổng quan về phát hiện đột nhập mạng giới thiệu khái quát tấn
công đột nhập mạng, các phương pháp phát hiện tấn công đột nhập mạng và hệ
thống phát hiện đột nhập mạng.
Chương 2 – Kiến trúc hệ thống và kỹ thuật phát hiện đột nhập mạng trình
bày kiến trúc hệ thống phát hiện đột nhập mạng, các kỹ thuật thu thập dữ liệu và
các kỹ thuật phát hiện đột nhập mạng.
Chương 3 – Xây dựng mô hình ứng dụng dựa trên Snort sẽ giới thiệu về
hệ thống

phát hiện xâm nhập mạng Snort, phân tích các yêu cầu xây dựng hệ
thống từ đó đó

xuất mô hình hệ thống phát hiện xâm nhập mạng dựa trên Snort
cho công ty Pama.

Luận văn cũng tiến hành cài mô hình phát hiện xâm nhập
Snort và xây dựng thử


nghiệm một số kịch bản phát hiện tấn công sử dụng Snort.

2

CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP
MẠNG
1.1. Khái niệm tấn công đột nhập mạng
Tấn công, đột nhập mạng là hành vi tấn công xâm nhập vào mạng để truy
cập trái phép vào thông tin và hệ thống, hoặc lạm dụng các tài nguyên trên mạng.
Việc lạm dụng có thể dẫn đến hậu quả có thể khiến cho tài nguyên mạng trở nên
không đáng tin cậy hoặc không sử dụng được. Hầu hết các cuộc tấn công xâm nhập
mạng máy tính vượt qua các lớp bảo mật của hệ thống theo những phương thức cụ
thể nhằm phá vỡ các thuộc tính bảo mật của thông tin và hệ thống. Ví dụ một số
cuộc tấn công nhằm đọc, đánh cắp các thông tin nhưng không thay đổi thành phần
nào trong hệ thống; Một số cuộc tấn công lại tắt hoặc làm ngừng hoạt động thành
phần nào đó trong hệ thống; Hoặc những cuộc tấn công khác lại có khả năng chiếm
toàn quyền điều khiển hoặc phá huỷ hệ thống. Chung quy lại chúng thường gây nên
tổn thương đến các thuộc tính bảo mật thông tin và hệ thống: tính bí mật, tính toàn
vẹn và tính khả dụng.
1.2. Các dạng tấn công
1.2.1. Tấn công bằng mã độc
Tấn công bằng mã độc có thể gồm một số định dạng như lợi dụng các lỗ
hổng về lập trình, lỗ hổng cấu hình hệ thống để chèn và thực hiện mã độc trên hệ
thống nạn nhân hoặc lừa người sử dụng tải, cài đặt và thực hiện các phần mềm độc
hạị như các phần mềm Spyware, Virus hoặc Trojan. Mã độc là tập mã thực thi tự
chủ không đòi hỏi sự can thiệp của Hacker. Khi được thực hiện, mã độc có thể giúp
tin tặc đánh cắp các thông tin nhạy cảm, truy nhập trái phép vào các tài nguyên hệ
thống, hoặc làm hệ thống hỏng hóc hoặc ngừng hoạt động.
1.2.2. Tấn công vào mật khẩu

Các hacker tấn công vào mật khẩu (password) bằng một số phương pháp
như: tấn công brute-force, sử dụng chương trình Trojan Horse, IP spoofing, và
packet sniffer. Tấn công brute-force có thể được thực hiện bằng cách dùng một
chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng
phương pháp “thử và sai” password.
3

1.2.3. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS – Denial of Service Attacks ) là dạng tấn
công cản trở người dùng hợp pháp truy cập các tài nguyên hệ thống. Tấn công từ
chối dịch vụ được chia thành hai loại:
 Tấn công Logic (Logic attacks): tấn công dựa vào lỗi phần mềm làm dịch vụ
ngừng hoạt động hoặc làm giảm hiệu năng của hệ thống.
 Tấn công gây ngập lụt (Flooding attacks): Kẻ tấn công gửi một lượng lớn yêu
cầu gây cạn kiệt tài nguyên hệ thống nạn nhân hoặc chiếm hết băng thông đường
truyền mạng.
1.2.4. Tấn công giả mạo địa chỉ, nghe trộm
Tấn công giả mạo địa chỉ là dạng tấn công trong đó kẻ tấn công sử dụng địa
chỉ IP giả, thường để đánh lừa máy nạn nhân để vượt qua các hàng rào kiểm soát an
ninh.
Tấn công nghe trộm là dạng tấn công sử dụng các thiết bị phần cứng hoặc
phần mềm lắng nghe trên card mạng, hub hoặc router để bắt các gói tin dùng cho
phân tích về sau.
1.2.5. Tấn công kiểu phát lại và người đứng giữa
Tấn công kiểu người đứng giữa (Man in the middle attack) là kiểu tấn công
lợi dụng quá trình truyền gói tin qua nhiều trạm (hop) thuộc các mạng khác nhau.
Kẻ tấn công chặn bắt các thông điệp giữa hai bên tham gia truyền thông và chuyển
thông điệp lại cho bên kia. Tấn công kiểu người đứng giữa có thể giúp tin tặc đánh
cắp thông tin trao đổi, hoặc thay đổi nội dung thông điệp truyền theo hướng có lợi
cho mình mà hai bên tham gia quá trình truyền thông không hay biết.

1.2.6. Tấn công bằng bom thư và thư rác
Tấn công bằng bom thư ( Mail bombing) là dạng tấn công DoS khi kẻ tấn
công gửi một lượng lớn email đến hộp thư của nạn nhân. Kẻ tấn công có thể thực
hiện bằng kỹ thuật Social Engineering hoặc khai thác lỗi trong hệ thống gửi nhận
email SMTP. Kẻ tấn công có thể sử dụng các máy chủ email không được cấu hình
tốt để gửi email cho chúng.
Tấn công bằng thư rác (Spam emails) là kiểu tấn công gửi những email
không mong muốn, thường là các email quảng cáo gây lãng phí tài nguyên tính toán
4

và thời gian người dùng. Ngoài ra tấn công bằng thư rác cũng có thể dùng để
chuyển những phần mềm độc hại.
1.2.7. Tấn công sử dụng cổng hậu
Cổng hậu (backdoor hoặc trapdoor) thường được các lập trình viên tạo ra
dùng để gỡ rối và test chương trình, do đó cổng hậu thường cho phép truy nhập trực
tiếp vào hệ thống mà không thông qua các thủ tục kiểm tra an ninh thông thường.
Vì vậy, những kẻ tấn công thường sử dụng cửa hậu như là một công cụ truy cập đến
hệ thống máy tính bỏ qua các cơ chế bảo mật hệ thống.
1.2.8. Tấn công kiểu Social Engineering
Tấn công kiểu Social Engineering là dạng tấn công sử dụng các kỹ thuật xã
hội (Social Engineering) để thuyết phục người dùng tiết lộ thông tin truy cập hoặc
các thông tin có giá trị cho kẻ tấn công. Một số dạng tấn công kiểu Social
Engineering điển hình:
 Kẻ tấn công có thể giả danh làm người có vị trí cao hơn so với nạn nhân để có
được sự tin tưởng, từ đó thuyết phục nạn nhân tiết lộ thông tin truy cập hoặc các
thông tin có giá trị cho kẻ tấn công.
 Kẻ tấn công có thể giả mạo nhận là người được ủy quyền của người có thẩm
quyền để yêu cầu các nhân viên tiết lộ thông tin về cá nhân hay tổ chức.
 Kẻ tấn công có thể lập trang web giả danh các tổ chức tài chính, ngân hàng, hoặc
diễn đàn, mạng xã hội để đánh lừa người dùng cung cấp các thông tin cá nhân và

thông tin tài khoản, thẻ tín dụng…
Phishing là một dạng tấn công Social Engineering, lừa người dùng để lấy
thông tin cá nhân, thông tin tài khoản, hoặc thẻ tín dụng. Một trong các dạng tấn
công phishing nổi tiếng là trò lừa đảo 4-1-9 xuất phát từ Nigeria, lợi dụng sự ngây
thơ và lòng tham của nhiều người.
1.2.9. Tấn công Pharming
Pharming là kiểu tấn công vào trình duyệt của người dùng. Kẻ tấn công
thường sử dụng sâu, virus hoặc các phần mềm độc hại cài vào hệ thống để điều
khiển trình duyệt người dùng. Kẻ tấn công cũng có thể tấn công vào hệ thống DNS
để thay đổi kết quả truy vấn địa chỉ IP, thay địa chỉ IP của website hợp lệ thành IP
của website độc hại.
5

1.3. Các phương pháp phát hiện tấn công đột nhập mạng
Phát hiện tấn công, đột nhập là quá trình giám sát và phân tích các sự kiện
xảy ra trên mạng hoặc hệ thống để tìm các dấu hiệu của các tấn công, đột nhập. Dựa
trên kỹ thuật phát hiện, có thể chia các phương pháp phát hiện tấn công, đột nhập
thành các loại: phát hiện dựa trên các dấu hiệu hoặc chữ ký (Signature-based
Intrusion Detection [2]), phát hiện dựa trên bất thường (Anomaly-based Intrusion
Detection [2]) và phát triện dựa trên phân tích trạng thái giao thức [2].
1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu
Phát hiện tấn công dựa trên dấu hiệu [2] là quá trình so sánh các sự kiện
giám sát với các dấu hiệu để xác định các nguy cơ có thể là một tấn công. Trong đó
dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa được biết đến. Ví
dụ:
 Một hành động cố gắng truy cập vào hệ thống với username “root” là hành động
vi phạm tới chính sách bảo mật của công ty, tổ chức.
 Một e-mail với tiêu đề “ Free picture!” và file đính kèm là “freepics.exe” có các
đặc điểm được biết đến thường là của phần mềm độc hại.
 Mục ghi log hệ điều hành với mã trạng thái là 645 được biết đến là sự kiểm tra

máy trạm đã bị vô hiệu hóa.
Phát hiện tấn công dựa trên dấu hiệu là hữu hiệu để phát hiện các tấn công đã
được biết đến và đã được định nghĩa, nhưng sẽ kém hiệu quả với các tấn công chưa
được định nghĩa trước đó, hoặc các tấn công được che giấu bằng kỹ thuật lẩn tránh,
và nhiều biến thể khác của các tấn công đã được biết đến. Ví dụ: nếu một kẻ tấn
công thay đổi hình thức thể hiện trong ví dụ trước sử dụng tên file khác như
“freepic2.exe”, và chuỗi tìm kiếm cho “freepics.exe” sẽ không trùng khớp.
Phát hiện tấn công dựa trên dấu hiệu là phương pháp phát hiện tương đối đơn
giản bởi vì phương pháp này chỉ so sánh các tập hành vi hiện tại trong các gói tin
hoặc bản ghi log với danh sách các dấu hiệu đã biết sử dụng các kỹ thuật so sánh
chuỗi. Phương pháp phát hiện dựa trên dấu hiệu thường hạn chế hiểu biết về các
mạng hoặc các giao thức ứng dụng và không thể theo dõi trạng thái của các hệ
thống phức tạp. Ví dụ: phương pháp này không thể kết hợp một yêu cầu với một
hành động phản hồi tương ứng, như là một yêu cầu cho máy chủ Web đến một trang
6

cụ thể phát ra trạng thái phản hồi giá trị là 403, có nghĩa là server từ chối thực hiện
yêu cầu do người dùng không có quyền truy nhập. Phương pháp này cũng thiếu khả
năng nhớ yêu cầu trước khi xử lý yêu cầu hiện tại. Hạn chế này ngăn cản phương
pháp phát hiện dựa trên dấu hiệu nhận biết tấn công khi so sánh các sự kiện nhưng
không sự kiện nào tồn tại một cách rõ ràng trong các dấu hiệu của một tấn công.
1.3.2. Phương pháp phát hiện dựa trên bất thường
Phương pháp phát hiện dựa trên các bất thường [2] là quá trình so sánh tập
các hành động được coi là bình thường và các hành vi được giám sát để xác định sự
sai lệch. Nếu phát hiện một sai lệch đủ lớn giữa tập hành vi bình thường và tập hành
vi hiện tại, một cảnh báo về nguy cơ tấn công hoặc đột nhập có thể được gửi đi.
Hệ thống phát hiện tấn công sử dụng phương pháp phát hiện dựa trên bất
thường trước hết xây dựng hồ sơ (profile) miêu tả các hành vi bình thường của
người dùng, máy trạm, kết nối mạng hoặc ứng dụng. Hồ sơ này được xây dựng
thông qua việc giám sát các hành vi điển hình trong một giai đoạn thời gian. Ví dụ:

một hồ sơ cho một mạng có thể chỉ ra hoạt động dịch vụ Web sử dụng trung bình
13% băng thông mạng trong suốt một ngày làm việc. Hệ thống phát hiện đột nhập
sau đó sử dụng phương pháp thống kê để so sánh các đặc trưng của các hành vi hiện
tại với một ngưỡng liên quan đến hồ sơ, như phát hiện khi dịch vụ Web sử dụng
băng thông lớn hơn đáng kể so với mức sử dụng bình thường ghi trong hồ sơ và
cảnh báo người quản trị về bất thường đã phát hiện. Hồ sơ có thể được phát triển
cho nhiều thuộc tính hành vi, như số lượng email được gửi bởi một người, số lần
đăng nhập sai cho một máy trạm, và mức sử dụng bộ xử lý trên một máy trạm trong
một khoảng thời gian.
Lợi ích lớn nhất của phương pháp phát hiện dựa trên sự bất thường là có thể
nhận biết những tấn công, đột nhập mới hoặc chưa biết. Ví dụ: giả sử một máy tính
bị nhiễm một loại phần mềm độc hại mới và phần mềm độc hại này có khả năng sử
dụng nhiều tài nguyên của máy tính, gửi một lượng lớn e-mail, thiết lập nhiều kết
nối mạng, và thực hiện các hành vi khác, tạo ra sự khác biệt đáng kể với các hồ sơ
về các hành vi đã được thiết lập cho máy tính đó.
Một hồ sơ ban đầu được sinh ra trong một khoảng thời gian được gọi là giai
đoạn huấn luyện. Hồ sơ cho phát hiện dựa trên sự bất thường có thể tĩnh hoặc động.
7

Sau khi được tạo ra, một hồ sơ tĩnh không thay đổi được trừ khi hệ thống phát hiện
tấn công chỉ định tạo ra một hồ sơ mới. Do hệ thống và mạng thay đổi theo thời
gian, tập các hành vi bình thường cũng thay đổi, một hồ sơ tĩnh sẽ trở lên không
chính xác, do đó hồ sơ tĩnh cần được tái sinh định kỳ. Hồ sơ động không có vấn đề
này do hồ sơ động có thể được cập nhật sử dụng các sự kiện được giám sát. Tuy
nhiên, chúng nhạy cảm với sự lẩn tránh của những kẻ tấn công. Chẳng hạn, một kẻ
tấn công có thể thực hiện số lượng nhỏ các hành vi độc hại, sau đó tăng dần tần suất
và số lượng các hoạt động. Nếu tốc độ thay đổi là đủ chậm, hệ thống có thể nghĩ các
hành vi phá hoại này là các hành vi bình thường và đưa vào hồ sơ bình thường.
1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức [2] là một quá

trình so sánh hồ sơ của các hành vi giao thức tốt cho mỗi trạng thái giao thức với
các sự kiện giám sát được để xác định sự sai lệch. Không giống như phương pháp
dựa trên sự bất thường là sử dụng hồ sơ của máy trạm hoặc của mạng cụ thể,
phương pháp dựa trên trạng thái của giao thức phân tích những phản hồi trên hồ sơ
của nhà phát triển cung cấp chung để xác định một giao thức cụ thể nên sử dụng hay
không. Thuật ngữ "trạng thái" trong phương pháp này có ý nghĩa là hệ thống phát
hiện tấn công hiểu biết và có khả năng giám sát trạng thái của mạng, phương tiện và
các giao thức ứng dụng. Ví dụ: khi một người dùng bắt đầu 1 phiên giao thức trao
đổi file (FTP), phiên làm việc sẽ được khởi tạo trong trạng thái không xác thực. Do
người dùng chưa được xác thực nên họ chỉ có thể thực hiện một vài câu lệnh trong
trạng thái này như là xem các thông tin hỗ trợ hoặc cung cấp tên tài khoản và mật
khẩu. Sự quan trọng của việc hiểu trạng thái là sự kết hợp giữa yêu cầu và đáp ứng,
như vậy khi một xác thực FTP xuất hiện, hệ thống phát hiện tấn công có thể xác
định quá trình này có thành công hay không thông qua mã trạng thái của phản hồi
được trả về. Khi người dùng xác thực thành công, phiên làm việc chuyển sang trạng
thái đã xác thực và người dùng có thể thực thi các câu lệnh. Việc thực thi các câu
lệnh trong trạng thái không được xác thực có thể bị nghi ngờ là tấn công xâm nhập,
nhưng thực thi trong trạng thái đã xác thực thì được coi là hợp lệ.
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức có thể xác
định thứ tự không đúng của các câu lệnh, ví dụ phát hành cùng một lệnh liên tục
8

hoặc phát hành một lệnh mà không phát hành lệnh mà nó phục thuộc. Một tính năng
khác của theo dõi trạng thái trong phương pháp này là cho các giao thức thực thi có
xác thực, hệ thống phát hiện tấn công có thể giám sát việc xác thực được dùng cho
mỗi phiên, và ghi lại việc xác thực được sử dụng cho các hành động mờ ám. Điều
này rất hữu ích để đánh giá một hành động nghi ngờ. Một vài hệ thống phát hiện tấn
công có thể sử dụng thông tin xác thực để định nghĩa các hành động có thể chấp
nhận khác nhau của các lớp người dùng hoặc của các người dùng cụ thể.
1.4. Các hệ thống phát hiện tấn công đột nhập mạng

1.4.1. Khái niệm hệ thống phát hiện xâm nhập
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) [3] là hệ
thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu lượng mạng,
các hoạt động khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị. IDS cũng có
thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người dùng
nội bộ) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu
hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa
vào các dấu hiệu đặc biệt để phát hiện và diệt virus), hay dựa trên so sánh lưu lượng
mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu
hiệu bất thường.
1.4.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Các IDS được xem như lớp phòng vệ bổ sung, đảm bảo an toàn cho thông tin và
hệ thống. Một số yêu cầu đối với IDS:
 Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
 Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
 Bảo vệ tính khả dụng, tức là đảm bảo cho hệ thống luôn sẵn sàng thực hiện yêu
cầu truy nhập thông tin của người dùng hợp pháp.
9

 Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy cập thông tin bất hợp pháp.
 Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Hệ thống IDS có một số chức năng chính như sau:
- Chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo vệ:

o Giám sát: thực hiện giám sát lưu lượng mạng và các hoạt động khả nghi.
o Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
o Bảo vệ: sử dụng những thiết lập mặc định và cấu hình từ nhà quản trị để có
những hành động tương ứng phù hợp chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng: IDS cần có khả năng phân biệt tấn công từ bên trong và tấn
công từ bên ngoài. Ngoài ra, IDS cũng có khả năng phát hiện những dấu hiệu bất
thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh lưu lượng mạng hiện
tại với baseline.









Thu thập thông tin Phản ứng
Hình 1.1: Mô hình chức năng IDS
1.4.3. Phân loại IDS
Cách thông thường nhất để phân loại IDS là dựa vào đặc điểm của nguồn dữ
liệu thu thập được. Trong trường hợp này, các hệ thống IDS được chia thành các
loại sau:
Chính sách
thu thập
thông tin
Thiết lập
sự kiện
Thông tin
sự kiện

Chính sách
phản ứng
Chính sách
phát hiện
Hệ thống
thông tin
Hệ thống đáp
trả
Hệ thống
phân tích
10

 Host-Based IDS (HIDS): Sử dụng dữ liệu giám sát từ một máy đơn để phát hiện
xâm nhập.
 Network-based IDS (NIDS): Sử dụng dữ liệu giám sát trên toàn bộ lưu lượng
mạng, hoặc phân đoạn mạng để phát hiện xâm nhập.
1.4.3.1. Host-Based IDS
Host-based IDS [3] tìm kiếm dấu hiệu của xâm nhập trên một host cục bộ.
HIDS thường sử dụng các cơ chế giám sát và phân tích và các thông tin được ghi
log. Nó tìm kiếm các hoạt động bất thường như đăng nhập, truy nhập các file hệ
thống, các cố gắng nâng cấp đặc quyền truy nhập nhưng không được chấp nhận.
Kiến trúc HIDS thường dựa trên các luật (Rule-based) để phân tích các hoạt
động của hệ thống. Ví dụ, đặc quyền của người sử dụng cấp cao có thể đạt được
thông qua lệnh su-select user, như vậy những cố gắng liên tục để đăng nhập sử dụng
tài khoản root có thể được coi là một cuộc tấn công.
Các ưu điểm của HIDS:
 Xác định chính xác các thông tin của cuộc tấn công: Do HIDS sử dụng dữ liệu
log lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay
thất bại với độ chính xác cao hơn NIDS. Vì thế, HIDS có thể bổ sung thông tin
tiếp theo khi cuộc tấn công được sớm phát hiện.

 Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các
hoạt động cụ thể của từng hệ thống mà NIDS không thể: như truy nhập file, thay
đổi quyền truy nhập, việc thực thi các chương trình, truy nhập dịch vụ được
phân quyền. Đồng thời nó cũng có khả năng giám sát các hoạt động chỉ được
thực hiện bởi người quản trị. Vì thế, hệ thống Host-based IDS có thể là một công
cụ mạnh để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấp
nhiều thông tin chi tiết và chính xác hơn một Network-based IDS.
 Phát hiện các xâm nhập mà NIDS bỏ qua: Chẳng hạn một kẻ xâm nhập sử dụng
bàn phím để truy nhập trực tiếp vào một Server sẽ không bị NIDS phát hiện,
nhưng HIDS có thể phát hiện.
 Thích nghi với môi trường chuyển mạch, mã hóa: Việc chuyển mạch và mã hóa
thực hiện trên mạng, nhưng do HIDS được cài đặt trên từng máy nên nó không
bị ảnh hưởng nhiều bởi hai kỹ thuật trên.
11

 Không yêu cầu thêm phần cứng: HIDS được cài đặt trực tiếp lên host có sẵn
(FTP Server, Web Server) nên không yêu cầu phải bổ sung thêm các phần cứng
khác.

Các nhược điểm của HIDS:
 Khó quản trị: các hệ thống host-based yêu cầu phải được cài đặt trên tất các các
thiết bị cần được bảo vệ. Điều này yêu cầu phải thực hiện một khối lượng công
việc lớn để cấu hình, quản lý, cập nhật.
 Thông tin nguồn dữ liệu không an toàn: một vấn đề với các hệ thống host-based
là nó hướng đến việc tin vào nhật ký mặc định và năng lực kiểm soát của server.
Các thông tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt động sai,
không phát hiện được xâm nhập.
 Chi phí lớn: Hệ thống host-based thường có chi phí vận hành tương đối cao.
Nhiều tổ chức không có đủ nguồn tài chính để bảo vệ toàn bộ các đoạn mạng
của mình sử dụng các hệ thống host-based. Những tổ chức đó phải rất thận trọng

trong việc chọn các hệ thống quan trọng để bảo vệ. Nó có thể để lại các lỗ hổng
lớn trong mức độ bao phủ phát hiện xâm nhập.
 Chiếm nhiều tài nguyên hệ thống: Do được cài đặt trên các máy cần được bảo vệ
nên HIDS phải sử dụng các tài nguyên của hệ thống để hoạt động như bộ vi xử
lí, RAM và bộ nhớ ngoài.
12


Hình 1.2: Các HIDS trong hệ thống mạng


1.4.3.2. Network-Based IDS
NIDS [3] thường bao gồm có hai thành phần logic:
 Bộ cảm biến – Sensor: đặt tại một đoạn mạng, kiểm soát các thông tin lưu lượng
trên đoạn mạng đó.
 Trạm quản lý: nhận các tín hiệu cảnh báo từ một bộ cảm biến và thông báo cho
điều hành viên.
Một NIDS cũng có thể bao gồm hai hay nhiều bộ cảm biến trên các đoạn mạng khác
nhau cùng giao tiếp với một trạm quản lý.
Các ưu điểm của NIDS:
 Chi phí thấp: Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám sát
lưu lượng toàn mạng nên hệ thống không cần phải nạp các thành phần mềm và
quản lý trên các máy toàn mạng.
 Phát hiện được các cuộc tấn công mà HIDS bỏ qua: khác với HIDS, NIDS kiểm
tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu tấn công
xuất phát từ mạng. Ví dụ: nhiều dạng tấn công DoS, như TearDrop chỉ bị phát
hiện khi phân tích header của các gói tin di chuyển trên mạng.
13

 Khó xóa bỏ dấu vết: Các thông tin lưu trong log file có thể bị kẻ đột nhập sửa

đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó có đủ
thông tin để phát hiện. Tuy nhiên, do NIDS thu thập tất cả các gói tin lưu chuyển
qua mạng, kẻ đột nhập không thể xóa bỏ các dấu vết tấn công. Các thông tin thu
thập được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việc
xác minh kẻ đột nhập.
 Phát hiện và đối phó kịp thời: NIDS có khả năng phát hiện sớm các cuộc tấn
công, vì thế việc cảnh báo và đối phó có thể được thực hiện nhanh hơn. Chẳng
hạn, một hacker thực hiện tấn công DoS có thể bị NIDS phát hiện và ngăn chặn
bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trước khi nó xâm
nhập vào máy nạn nhân.
 Có tính độc lập cao: Lỗi hệ thống không ảnh hưởng đáng kể tới các NIDS.
Chúng chạy trên một hệ thống phần cứng chuyên dụng và dễ dàng cài đặt.

Hình 1.3: Các NIDS trong hệ thống mạng
1.4.4. Giới thiệu một số hệ thống IDS
1.4.4.1. Hệ thống phát hiện tấn công Cisco IDS
Cisco IDS[6] là một hệ thống phát hiện xâm nhập cho hệ thống mạng sử
dụng cơ sở dữ liệu các dấu hiệu để theo dõi toàn bộ lưu lượng mạng và đối sánh
từng gói tin để phát hiện các dấu hiệu xâm nhập. Cisco IDS là một giải pháp riêng
14

biệt được Cisco cung cấp đồng bộ phần cứng và phần mềm trong một thiết bị
chuyên dụng.
Hệ thống phát hiện xâm nhập của Cisco có hai thành phần chính đó là bộ
cảm biến và nền tảng điều khiển. Cisco IDS hoạt động trên một hệ thống Unix được
tối ưu hóa về cấu hình và có giao diện tương tác dòng lệnh quen thuộc Cisco.
Các bước xử lý cơ bản của một hệ thống phát hiện xâm nhập của Cisco như sau:
 Một cảm biến (Sensor) sẽ thu thập các gói tin dữ liệu mạng thông qua giao diện
giám sát.
 Các gói tin có thể được tập hợp lại và so sánh với CSDL các dấu hiệu để xác

định các hành động xâm nhập.
 Nếu một hành động tấn công bị phát hiện, cảm biến ghi lại cuộc tấn công và
thông báo cho nền tảng điều khiển thông qua giao diện dòng lệnh và điều khiển.
 Nền tảng điều khiển hiển thị cảnh báo, các bản ghi dữ liệu và có các hành động
tương ứng đáp trả cuộc tấn công.


Hình 1.5: Các bước xử lý của Cisco IDS
1.4.4.2. Hệ thống phát hiện tấn công ISS Proventia A201
Proventia A201 là sản phẩm của hãng Internet Security Systems. Proventia
không phải là một hệ thống phần mềm hay phần cứng đơn mà là một hệ thống các
15

thiết bị được triển khai phân tán trong mạng được bảo vệ. Một hệ thống Proventia
bao gồm các thiết bị sau:
 Intrusion Protection Appliance: Là trung tâm của toàn bộ hệ thống Proventia. Nó
lưu trữ các cấu hình mạng, các dữ liệu đối sánh cũng như các quy định về chính
sách bảo mật của hệ thống. Intrusion Protection Appliance chạy một phiên bản
hệ điều hành Linux với các driver thiết bị mạng được tối ưu hóa cũng như các
gói dịch vụ được tối thiểu hóa.
 Proventia Network Agent: Đóng vai trò như các bộ cảm biến. Nó được bố trí tại
những vị trí nhạy cảm trong mạng nhằm theo dõi toàn bộ lưu lượng trong mạng
để phát hiện những nguy cơ xâm nhập tiềm ẩn.
 Site Protector: Là trung tâm điều khiển của hệ thống Proventia. Đây là nơi người
quản trị mạng quản lý toàn bộ cấu hình cũng như điều khiển hoạt động của hệ
thống.
Với giải pháp của Proventia, các thiết bị sẽ được triển khai sao cho phù hợp
với cấu hình của từng mạng cụ thể để có thể đạt được hiệu quả phát hiện tấn công
mạng cao nhất.
1.4.4.3. Hệ thống phát hiện tấn công NFR NID-310

NFR là một sản phẩm của NFR Security Inc. Cũng giống như Proventia,
NFR NID là một hệ thống hướng thiết bị (Appliance –based). Đặc điểm trong kiến
trúc của NFR NID là các bộ cảm biến có khả năng thích ứng với nhiều mạng khác
nhau với tốc độ từ 10Mbps đến cỡ Gbps với thông lượng rất lớn.
Một đặc điểm khác của NFR NID là mô hình điều khiển 3 lớp. Thay vì các
thiết bị trong hệ thống được điều khiển trực tiếp bởi một giao diện quản trị riêng
biệt, NFR cung cấp một cơ chế điều khiển tập trung với các phần mềm trung gian
làm nhiệm vụ điều khiển trực tiếp thiết bị.
1.5. Kết chương
Chương 1 đã đã giới thiệu các phương pháp tấn công xâm nhập mạng, các
phương pháp phát hiện xâm nhập và tổng quan về hệ thống phát hiện xâm nhập
mạng một trong những công cụ hữu ích phát hiện, cảnh báo những rủi ro cho tài
nguyên thông tin trên hệ thống mạng. Câu hỏi đặt ra ở đây là cơ chế hoạt động của
hệ thống phát hiện xâm nhập như thế nào, và các hệ thống phát hiện xâm nhập sử
16

dụng các kỹ thuật nào để phát hiện và cảnh báo xâm nhập. Để trả lời câu hỏi này
này, Chương 2 đi sâu nghiên cứu kiến trúc và các thành phần hệ thống phát hiện
xâm nhập mạng và các kỹ thuật thu thập ,tiền xử lý dữ liệu và các kỹ thuật phát hiện
tấn công xâm nhập mạng.

17

CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT
PHÁT HIỆN ĐỘT NHẬP MẠNG
2.1. Kiến trúc hệ thống phát hiện đột nhập mạng
Kiến trúc của một hệ thống IDS [4] như biểu diễn trên hình 2.1, bao gồm các
thành phần chính sau: Thành phần thu thập gói tin (Information collection), Thành
phần phân tích gói tin (Detection) và Thành phần phản hồi (Response). Trong ba
thành phần này, thành phần phát hiện là quan trọng nhất và bộ phân tích hay cảm

biến (Analyzer/Sensor) đóng vai trò quyết định khả năng phát hiện tấn công, đột
nhập.

Hình 2.1: Kiến trúc IDS
2.1.1. Thành phần thu thập gói tin (Information collection)
Thành phần thu nhập gói tin nhận các gói tin từ nhiều kiểu giao diện như
Ethernet, Slip,… và tiền xử lý gói tin thành dạng mà thiết bị phân tích có thể sử
dụng được.
2.1.2. Thành phần phân tích gói tin (Detection)
Thành phần phân tích gói tin là thành phần thực hiện tìm kiếm, đối sánh các
dấu hiệu, chữ ký đột nhập, hoặc hồ sơ các hành vi bình thường trên các gói cần
kiểm tra.