HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO THỰC TẬP TỐT NGHIỆP
TÌM HIỂU …

Sinh viên thực hiện:
Trần Quang Huy
Mã SV:
Giảng viên hướng dẫn:
Nguy
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã

Hà Nội, 2020


NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………

………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Hà nội, ngày…..tháng…..năm…..
Xác nhận của giảng viên hướng dẫn

AN TỒN ĐIỆN TỐN ĐÁM MÂY

1


MỤC LỤC
Nhận xét của giảng viên hướng dẫn.......................................................................1
Mục lục.....................................................................................................................2
Danh mục kí hiệu và viết tắt...................................................................................4
Danh mục hình vẽ....................................................................................................5
Danh mục bảng........................................................................................................7
Lời cảm ơn...............................................................................................................8
Lời nói đầu...............................................................................................................9
Chương 1. Tổng quan về hệ thống IDPS Suricata.............................................10
1.1. Hệ thống IDS...................................................................................................10
1.1.1. Giới thiệu.............................................................................................10
1.1.2. Kiến trúc và chức năng........................................................................10
1.1.3. Phân loại IDS......................................................................................14
1.1.4. Các kỹ thuật xử lý trong IDS...............................................................17
1.2. Hệ thống IPS...................................................................................................19

1.2.1. Giới thiệu.............................................................................................19
1.2.2. Kiến trúc của IPS.................................................................................20
1.2.3. Phân loại hệ thống IPS........................................................................22
1.2.4. Các kỹ thuật xử lý trong IPS................................................................23
1.3. Hệ thống phát hiện xâm nhập mạng Suricata..................................................24
1.3.1. Giới thiệu về Suricata..........................................................................24
1.3.2. Kiến trúc của suricata.........................................................................25
1.3.3. Luật trong Suricata..............................................................................28
Chương 2. Tìm hiểu về hệ thống ELK.................................................................46
2.1. Elasticsearch...................................................................................................47
2.1.1. Giới thiệu Elasticsearch......................................................................47
2.1.2. Kiến trúc của Elasticsearch.................................................................47
2.1.3. Các khái niệm cơ bản trong ElasticSearch.........................................49
2.1.4. Các dạng tìm kiếm...............................................................................51
2.2. Logstash..........................................................................................................52
2.2.1. Giới thiệu về Logstash.........................................................................52
2.2.2. Mơ hình hoạt động của Logstash........................................................52
2.3. Kibana.............................................................................................................54
Chương 3. Triển khai hệ thống phát hiện và ngăn chặn xâm nhập
SELKS ( Tích hợp Suricata và ELK)..................................................................56
3.1. Giới thiệu chung..............................................................................................56
3.2. Tìm hiểu thêm về Scirius................................................................................57
3.3. Cài đặt hệ thống SELKS trên VMWare Workstation.....................................59
3.4. Thiết lập hệ thống............................................................................................62
3.4.1. Thiết lập card mạng.............................................................................62
3.4.2. Java......................................................................................................65
3.4.3. Thiếp lập chế độ IDS với Suricata.......................................................65
AN TỒN ĐIỆN TỐN ĐÁM MÂY

2



3.4.4. Thiết lập chế độ IPS với Suricata........................................................67
3.5. Tùy chỉnh và vận hành....................................................................................68
3.5.1. Giám sát hệ thống................................................................................68
3.5.2. Dữ liệu và nhật ký................................................................................69
3.5.3. Kiểm tra trạng thái của các service.....................................................71
3.6. Kiểm tra giao diện WEB của SELKS.............................................................72
3.7. Thực nghiệm....................................................................................................74
3.7.1. Đặt vấn đề............................................................................................74
3.7.2. Mô tả thực nghiệm...............................................................................74
3.7.3. Đưa ra kết quả thực nghiệm................................................................74
Kết luận..................................................................................................................76
Tài liệu tham khảo...................................................................................................77

AN TỒN ĐIỆN TỐN ĐÁM MÂY

3


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
CCM
CNTT
CSA
CSP
DDOS
ENISA
IaaS
IEEE
NIST

PaaS
RPO
RTO
SaaS
SLA
TGC

Ma trận điều khiển đám mây
Công nghệ thông tin
Liên minh bảo mật đám mây
Dịch vụ đám mây nhà cung cấp
Tấn công từ chối dịch vụ
Cơ quan an ninh mạng và thông tin châu Âu
Dịch vụ hạ tầng
Institute of Electrical Electronics Engineers
Viện tiêu chuẩn và kỹ thuật số Quốc gia Hoa Kỳ
Dịch vụ nền tảng
Mục tiêu điểm khôi phục dịch vụ
Mục tiêu thời gian phục hồi
Dịch vụ phần mềm
Thỏa thuận cấp độ dịch vụ
Nhóm máy tính đáng tin cậy

AN TỒN ĐIỆN TỐN ĐÁM MÂY

4


DANH MỤC HÌNH VẼ
Hình 1.1:..................................................................................................................10

Hình 1.2:..................................................................................................................11
Hình 1.3:..................................................................................................................12
Hình 1.4:..................................................................................................................13
Hình 1.5:..................................................................................................................14
Hình 1.6:..................................................................................................................16
Hình 1.7:..................................................................................................................24
Hình 1.8:..................................................................................................................28
Hình 1.9:..................................................................................................................31
Hình 1.10:................................................................................................................32
Hình 1.11:................................................................................................................35
Hình 1.12:................................................................................................................39
Hình 2.1: ELK.........................................................................................................44
Hình 2.2:..................................................................................................................46
Hình 2.3:..................................................................................................................47
Hình 2.4:..................................................................................................................48
Hình 2.5:..................................................................................................................50
Hình 2.6:..................................................................................................................53
Hình 2.7:..................................................................................................................53
Hình 3.1:..................................................................................................................54
Hình 3.2:..................................................................................................................56
Hình 3.3:..................................................................................................................56
Hình 3.4:..................................................................................................................57
Hình 3.5:..................................................................................................................57
Hình 3.6:..................................................................................................................58
Hình 3.7:..................................................................................................................59
Hình 3.8:..................................................................................................................59
Hình 3.9:..................................................................................................................60
Hình 3.10:................................................................................................................62
Hình 3.11:................................................................................................................64
Hình 3.12:................................................................................................................65

AN TỒN ĐIỆN TỐN ĐÁM MÂY

5


Hình 3.13:................................................................................................................66
Hình 3.14.................................................................................................................67
Hình 3.15:................................................................................................................67
Hình 3.16:................................................................................................................68
Hình 3.17:................................................................................................................68
Hình 3.18:................................................................................................................68
Hình 3.19:................................................................................................................69
Hình 3.20:................................................................................................................70
Hình 3.21:................................................................................................................70
Hình 3.22:................................................................................................................71
Hình 3.23:................................................................................................................72
Hình 3.24:................................................................................................................72
Hình 3.25:................................................................................................................72

AN TỒN ĐIỆN TỐN ĐÁM MÂY

6


DANH MỤC BẢNG
Bảng 1.1:.................................................................................................................41
Bảng 1.2:.................................................................................................................42

AN TỒN ĐIỆN TỐN ĐÁM MÂY


7


LỜI CẢM ƠN
Trong quá trình thực hiện bài báo cáo thực tập tốt nghiệp với đề tài “TÌM
HIỂU …”, nhóm chúng em nhận được sự giúp đỡ tận tình của giảng viên hướng
dẫn là thầy/cơ Nguyễn… – Khoa An tồn thông tin, Học viện Kỹ thuật Mật mã,…
Xin chân thành cảm ơn!

AN TỒN ĐIỆN TỐN ĐÁM MÂY

8


LỜI NÓI ĐẦU
Trong thời đại cách mạng mới này, điện tốn đám mây có thể cung cấp cho
các tổ chức phương tiện và các phương pháp cần thiết để đảm bảo sự ổn định tài
chính và dịch vụ chất lượng cao. Tất nhiên, phải có hợp tác chung nếu quá trình
điện tốn đám mây là để đạt tới sự an toàn tối ưu và các tiêu chuẩn vận hành
chung. Với sự ra đời của điện toán đám mây, điều cấp thiết với tất cả chúng ta là
sẵn sàng cho cuộc cách mạng này.
Bảo mật đám mây thể hiện một cơ hội khác để áp dụng các nguyên tắc bảo
mật âm thanh và kỹ thuật cho một miền cụ thể và để giải quyết cho một loạt các
vấn đề nhất định. Bài báo cáo này dựa trên tài liệu và trình bày nền tảng cho một
khuôn khổ để đánh giá bảo mật đám mây. Tài liệu này được dự định để đi xa hơn
và gia tăng các tiêu chí bảo mật mà đã giới thiệu. Nó sẽ có lợi các hoạt động trước
khi đánh giá, chứng nhận hoặc công nhận một đám mây. Trước tiên, bắt đầu bằng
cách xem xét công việc hiện có trong lĩnh vực này và sau đó sẽ đưa ra một bộ danh
sách kiểm tra các tiêu chí đánh giá trải rộng phạm vi hoạt động cùng nhau hỗ trợ
bảo mật thơng tin cho điện tốn đám mây.

Mục tiêu của bài báo cáo này là cung cấp cho người đọc một bộ cơng cụ có
tổ chức, có thể được sử dụng để đánh giá bảo mật của đám mây riêng, cộng đồng,
công cộng hoặc lai. Đánh giá bảo mật của đám mây lai có thể được thực hiện tốt
nhất bằng cách quản lý việc đánh giá hai hoặc nhiều phiên bản đám mây bằng cách
sử dụng một bộ danh sách kiểm tra cho mỗi phiên bản. Ví dụ như, nếu hybrid bao
gồm một đám mây riêng và một đám mây công cộng, chỉ cần đánh giá các thành
phần riêng tư sử dụng một bộ danh sách kiểm tra và đánh giá các thành phần công
cộng vào các lĩnh vực riêng biệt của chúng. Khi thực hiện theo cách này, có thể dễ
dàng hơn so sánh các lựa chọn thay thế đám mây công cộng.

SINH VIÊN THỰC HIỆN
Nguyễn

AN TỒN ĐIỆN TỐN ĐÁM MÂY

9


CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IDPS SURICATA
1.1. Hệ thống IDS
1.1.1. Giới thiệu
IDS (Intrusion Detection System)  là một thiết bị hoặc ứng dụng phần
mềm giám sát một mạng hoặc các hệ thống cho hoạt động độc hại hoặc vi phạm
chính sách. Bất kỳ hoạt động hoặc vi phạm độc hại nào thường được báo cáo cho
quản trị viên hoặc được thu thập tập trung bằng hệ thống quản lý sự kiện (event) và
thông tin bảo mật (SIEM). Một hệ thống SIEM kết hợp các kết quả đầu ra từ nhiều
nguồn và sử dụng các kỹ thuật lọc báo động để phân biệt hoạt động độc hại với các
báo động sai.
Phân loại phổ biến nhất là các hệ thống phát hiện xâm nhập mạng (NIDS)
và các hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS). Một hệ thống giám

sát các tệp chạy trên hệ điều hành quan trọng là một ví dụ về một HIDS, trong khi
một hệ thống phân tích lưu lượng mạng đến là một ví dụ về một NIDS. Cũng có
thể phân loại IDS bằng cách phát hiện, phổ biến là phát hiện dựa trên chữ ký (ví dụ
như nhận dạng các phần mềm độc hại) và phát hiện bất thường (phát hiện độ lệch
từ mô hình lưu lượng truy cập). Một số IDS có khả năng đáp ứng với sự xâm nhập
được phát hiện. Các hệ thống có khả năng phản hồi thường được gọi là hệ thống
ngăn chặn xâm nhập.
Mặc dù cả hai đều liên quan đến an ninh mạng, IDS khác với tường lửa trong
đó tường lửa nhìn ra bên ngoài để xâm nhập nhằm ngăn chúng xảy ra. Tường lửa
giới hạn quyền truy cập giữa các mạng để ngăn chặn sự xâm nhập và không báo
hiệu một cuộc tấn công từ bên trong mạng. IDS mô tả một sự xâm nhập đáng ngờ
một khi nó đã xảy ra và báo hiệu một báo động. IDS cũng theo dõi các cuộc tấn
cơng có nguồn gốc từ bên trong một hệ thống. Điều này thường đạt được bằng
cách kiểm tra truyền thông mạng, xác định với các mẫu của các cuộc tấn cơng máy
tính thơng thường và thực báo đến quản trị viên. Một hệ thống chấm dứt các kết
nối được gọi là hệ thống ngăn chặn xâm nhập và là một dạng tường lửa lớp ứng
dụng khác.
1.1.2. Kiến trúc và chức năng
 Kiến trúc của IDS
Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng
để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với
một IDS. Mơ hình cấu trúc chung cho các hệ IDS:
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
0


Hình 1.1:
IDS gồm các 3 phần chính: thành phần thu thập thơng tin

(information collection), thành phần phát hiện gói tin (Detection), thành
phần phản ứng (response) nếu gói tin đó được Sensor tích hợp với thành
phần là sưu tập dữ liệu và một bộ tạo event. Cách sưu tập này được xác định
bởi chính sách tạo event để định nghĩa chế độ lọc thông tin event. phát hiện
là một cuộc tấn cơng. Thành phần phát hiện gói tin là quan trọng nhất là
sensor có vai trị lớn. Vai trị của sensor là dùng để lọc thông tin và loại bỏ
dữ liệu khơng tương thích đạt được từ các event liên quan với hệ thống bảo
vệ, vì vậy có thể phát hiện được các hành động nghi ngờ.
Nhiệm vụ chính của các hệ thống phát hiện xâm nhập là phòng chống
cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn cơng và có
thể đẩy lùi nó. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu
hành động thích hợp. Việc làm lệch hướng sự tập trung của kẻ xâm nhập vào
tài nguyên được bảo vệ cũng là một nhiệm vụ quan trọng. Cả hệ thống thực
cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ
thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ
chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công. Khi một sự xâm
nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống
về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có
thể là bản thân IDS bằng cách lợi dụng các tham số do bổ sung (các chức
năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối
đến bẫy hệ thống, cơ sở hạ tầng hợp lệ…) theo các chính sách bảo mật của
các tổ chức. Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa
các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
1


nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp

lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các
tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ
thống. Phát hiện xâm nhập đơi khi có thể đưa ra các cảnh báo sai, ví dụ
những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô
tả các tấn công hoặc các chữ ký thông qua email.
Vai trị của sensor là dùng để lọc thơng tin và loại bỏ dữ liệu khơng
tưng thích đạt được từ các event liên quan với hệ thống bảo vệ, nên có thể
phát hiện được các hành động bất thường. Bộ phân tích sử dụng cơ sở dữ
liệu, chính sách phát hiện này. Ngồi ra cịn có các thành phần: dấu hiệu tấn
công, profile hành vi bất thường, các tham số cần thiết(các ngưỡng). Thêm
vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền
thơng với Modulee đáp trả. Sensor cũng có cơ sở dữ liệu riêng của nó, gồm
dữ liệu được lưu về các xâm nhập phức tạp tiềm ẩn(tạo ra nhiều hành động
khác nhau).
IDS có thể kết hợp với một số biện pháp khác như tưởng lửa, hoặc
phân tán ra... Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng
lớn, tất cả chúng đều kết nối với nhau. Nhiều hệ thống tinh vi đi theo
nguyên lý cấu trúc một tác nhân, nơi các Modulee nhỏ được tổ chức trên
một host trong mạng được bảo vê.
 Chức năng và quy trình hoạt động của hệ thống IDS

Hình 1.2:
Hệ thống IDS hoạt động theo ba bước chính là giám sát, cảnh báo và
bảo vệ. Đây cũng là các chức năng quan trọng của hệ thống:
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
2



 Giám sát: có vai trị giám sát lưu lượng mạng và các hoạt động bất
thường trong mạng;
 Cảnh báo: Khi phát hiện có bất thường hay cuộc tấn cơng, hệ thống sẽ
gửi các cảnh báo cho người quản trị;
 Bảo vệ: sử dụng các thiết lập sẵn của người quản trị để bảo vệ hệ
thống;
Ngồi ra cịn 2 chức năng quan trọng khác của hệ thống IDS là:
 Phân biệt tấn cơng: hệ thống IDS có thể phân biệt các truy cập hợp lệ
hay không hợp lệ từ trong mạng nội bộ hay từ mạng bên ngoài;
 Phát hiện: thực hiện so sánh lưu lượng mạng hiện tại với baseline,
IDS có thể phát hiện ra những dấu hiệu bất thường và đưa ra cảnh báo
đến quản trị viên;
Nhiệm vụ chính của hệ thống IDS là phát hiện dấu hiệu của các cuộc
tấn cơng và đẩy lùi được nó. Điều này phụ thuộc vào số lượng và kiểu
hành động của các cuộc tấn công. Chúng ta phải kết hợp “bẫy” được
trang bị để phát hiện các mối nguy hại để ngăn chặn xâm nhập. Làm lệch
hướng mục tiêu của kẻ xâm nhập vào các hệ thống đã được bảo vệ cũng
là một nhiệm vụ quan trọng của IDS. Phải kiểm tra liên tục hệ thống. Các
logs thu thập từ hệ thống cần phải được xem xét, kiểm tra một cách kĩ
càng nhằm phát hiện các dấu hiệu tấn cơng.

Hình 1.3:
 Quy trình hoạt động

AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
3



Hình 1.4:
 Bước 1: Gói tin được gửi từ một máy trạm;
 Bước 2: Cảm biến trong mạng đọc được gói tin đó trước khi nó được
gửi ra mạng cục bộ (tùy thuộc vào vị trí đặt cảm biết sao cho có thể
đọc được dữ liệu cần thiết);
 Bước 3: Khi đến mạng cục bộ, gói tin sẽ bị hệ thống IDS kiểm tra
xem có dấu hiệu vi phạm khơng. Nếu có vi phạm sẽ có cảnh báo tới
giao diện điều khiển;
 Bước 4: Giao diện điều khiển nhận được cảnh báo, nó sẽ gửi cho một
người hay một nhóm ngước đã được chỉ định tùy theo cấu hình đã
thiết lập (gửi qua email, giao diện,…);
 Bước 5: Phản hồi được khởi tạo theo quy định đã được thiết lập trong
hệ thống;
 Bước 6: Các cảnh báo sẽ được lưu lại và hệ thống sẽ tạo ra báo cáo
chi tiết;
 Bước 7: Cảnh báo được so sánh với các dữ liệu khác để xác định có
phải là cuộc tấn cơng hay không;
1.1.3. Phân loại IDS
Hệ thống IDS được sử dụng để theo dõi các lưu lượng mạng ra vào để đảm
bảo độ bảo mật trong hệ thống mạng, hệ thống cung cấp những lưu lượng trong
mạng và phát hiện những lưu lượng bất thường. Hệ thống được chia thành hai loại
chính là Network Base Intrusion Detection System (NIDS) và Host Base Intrusion
Detection System (HIDS). Không những thế, hệ thống IDS cịn có thể loại bỏ
những lưu lượng nguy hiểm gây ảnh hưởng đến hệ thống mạng. Đây là sự nâng
cao về an tồn thơng tin trong lĩnh vực tường lửa vì IDS có các file mẫu hệ thống
mạng chạy bình thường và sử dụng chúng để so sánh với hệ thống mạng hiện tại
nhằm có thể truy ra những dấu hiệu bất thường trong mạng LAN, WAN, PAN.
AN TOÀN ĐIỆN TOÁN ĐÁM MÂY

1

4


 Network Base Intrusion Detection System (NIDS)
Hệ thống NIDS sử dụng bộ dị và sensor đặt trên tồn mạng, nhằm
theo dõi trên mạng, tìm kiếm những lưu lượng bất thường từ những quy định
đã được thiết lập trong hệ thống. Những sensor thu thập và phân tích lưu
lượng mạng trong thời gian thực để đảm bảo tính an tồn của hệ thống. Khi
phát hiện được một mẫu lưu lượng hay dấu hiệu bất bình thường, sensor gửi
cảnh báo đến trạm quản trị và có thể được cấu hình từ quản trị viên nhằm
tìm ra biện pháp ngặn chặn những cuộc tấn cơng. NIDS gồm nhiều sensor
được đặt trên tồn mạng để theo dõi một cách tổng quát những gói tin trong
mạng và so sánh với mẫu đã được định nghĩa để phát hiện ra những cuộc tấn
cơng.

Hình 1.5:
NIDS được đặt giữa hệ thống mạng bên trong và kết nối bên ngoài để
giám sát toàn bộ lưu lượng mạng ra vào của hệ thống. NIDS cũng có thể là
một thiết bị phần cứng riêng biệt cũng có thể là một phần mềm được cài đặt
và chạy trên một máy trạm. Mục đích chính của hệ thống dùng để đo lưu
lượng mạng được sử dụng nhưng có thể xảy ra hiện tượng quá tải khi lưu
lương mạng hoạt động ở mức cao.
Ưu điểm:
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
5









Quản lý được toàn mạng;
Như camera an ninh ngoài trong hệ thống;
Cài đặt, bảo trì đơn giản, khơng gây ảnh hưởng tới mạng;
Tránh DoS ảnh hưởng tới một host;
Có khả năng xác định lỗi tần mạng trong mơ hình OSI;

Nhược điểm:
* Có thể xuất hiện báo động giả;
* Khơng thể phân tích lưu lượng đã được mã hóa(SSL, SSH, IPSec,
….);
* Có độ trễ giữa thời điểm bị tấn cơng với thời điểm báo động;
* Không cho biết kết quả của các cuộc tấn công;
* Giới hạn băng thông.
 Host Base Intrusion Detection System (HIDS)
Khác với NIDS giám sát hệ thống mạng, HIDS chỉ giám sát và ghi lại
log cho một máy chủ (host-system). Đây là dạng IDS với chỉ giám sát và ghi
lại hoạt động của host-system (bao gồm cả hệ điều hành và các ứng dụng,
service của máy chủ đó). Đây là thiết bị bảo mật nhằm phát hiện tấn công
trực tiếp đến một máy chủ. HIDS hoạt động nhanh hơn so với NIDS bởi vì
nó được cài cục bộ trên máy. Nó kiểm sốt lưu lượng ra vào trên máy chủ
cài đặt, do hệ HIDS cài cục bộ trên một máy chủ nên không ảnh hưởng tới
việc cài nó trên nhiều máy trong hệ thống mạng như các máy chủ, máy trạm,
máy tính xách tay. Lưu lượng được máy tính HIDS đọc sẽ được phân tích
nhằm loại bỏ những lưu lượng chứa mã độc. HIDS được thiết kế chủ yếu
trên hệ điều hành Windows, vẫn có trên hệ điều hành khác nhưng không

nhiều. Một vài service được theo dõi và giám sát trên HIDS là Syslog, File
Fingerprinting, System Integrity Check và Systrace.

AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
6


Hình 1.6:
Ưu điểm:
 Cài đặt trên nhiều dạng máy tính (PC, laptop, máy chủ…);
 Phân tích lưu lượng mạng rồi mới forward;
 HIDS phát hiện các cuộc tấn công diễn ra trên máy được cài đặt;
 Phân tích được dữ liệu đã mã hóa;
 Cung cấp thơng tin host đang bị tấn công.
Nhược điểm:
 Không tin cậy khi đã bị tấn công thành công;
 Hệ điều hành trên máy bị vơ hiệu hóa thì HIDS cũng bị vơ hiệu hóa;
 HIDS phải cài đặt trên từng host riêng lẻ để giám sát;
 HIDS không phát hiện scan mạng (Nmap, Netcat, …);
 HIDS sử dụng tài nguyên trên Host để hoạt động;
 HIDS có thể khơng hiệu quả khi bị DoS.
1.1.4. Các kỹ thuật xử lý trong IDS
Tùy theo kiểu phương pháp sử dụng để tìm ra xâm nhập, các cơ chế xử lý dữ
liệu cũng được sử dụng khác nhau.
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
7



 Hệ thống Expert: hệ thống Expert thực hiện nhiệm vụ đã được xét các luật
từ trước nhằm miêu tả các tấn công. Event liên quan đến bảo mật đều được
kết hợp vào cuộc kiểm định và đều được dịch sang dạng nguyên tắc if-thenelse;
 Phát hiện xâm nhập dựa trên luật: phương pháp phát hiện xâm nhập dựa vào
luật biến đổi sự mô tả của các cuộc tấn công thành các định dạng kiểm định
thích hợp. Do đó, dấu hiệu tấn cơng có thể tìm được trong các bản ghi;
 Phân biệt ý định của người sử dụng(User intention identification): kỹ thuật
mơ hình hóa lại từ các hoạt động bình thường của người tham gia hệ thống
sử dụng các chức năng trong hệ thống. Bộ phân tích sẽ cho tập hợp nhiệm
vụ mà có thể chấp nhận cho mỗi người tham gia hệ thống. Bất cứ hoạt động
nào không hợp lệ sẽ được đưa ra cảnh báo đến hệ thống;
 Phân tích trạng thái phiên(State-Transition analysis): cuộc tấn cơng sẽ được
phương pháp thể hiện bằng một tập các mục tiêu, phiên cần thực hiện bởi
hacker nhằm gây ảnh hưởng đến hệ thống. Các phiên sẽ được thể hiện qua
sơ đồ trạng thái. Nếu phát hiện được các phiên vi phạm sẽ ngay lập tức tiến
hành đáp trả và cảnh báo đã được thiết lập;
 Phương pháp Colored Petri Nets: phương pháp này thường được sử dụng
nhằm tổng quát theo các dạng sơ đồ của các cuộc tấn công theo những hiểu
biết của hệ thống đã được thiết lập. Các quản trị viên cũng sẽ dễ dàng thêm
bớt các dấu hiệu nhận biết trong hệ thống. Nhưng việc này lại tốn thời gian
để phân tích dựng thành sơ đồ nên không được sử dụng phục vụ cho các hệ
thống thương mại;
 Phương pháp phân tích thống kê: phương pháp lưu lại những hoạt động của
người dung và hệ thống tính nhằm đưa ra phân tích cụ thể. Mơ hình tinh vi
hơn về hành vi người dùng đã được thiết lập để xác định người dùng ngắn
hạn hay dài hạn. Các thông kệ luôn được cập nhật để xác thực nhất người
dùng trong hệ thống;
 Neural Networks: phương pháp này sử dụng các thuật toán nhằm nghiên cứu

xác định giữa đầu ra và đầu vào. Phương pháp này được sử dụng nhằm phát
hiện các cuộc xâm nhập, mục đích chính nhằm xác định hành vi của người
tham gia mạng bao gồm cả kẻ xâm phạm. Các thực nghiệm được tiến hành
dựa trên dự đoán hành vi của người tham gia hệ thống mạng. Phương pháp
có thể dự đốn hầu hết hành vi của người tham gia hệ thống;
 Machine Learning: Đây là một kỹ thuật trí tuệ nhân tạo, nó lưu luồng lệnh
đầu ra người dùng vào các biểu mẫu vector và sử dụng như một tham chiếu
của trạng thái hành vi người dùng thơng thường. Các trạng thái sau đó được
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
8


gộp vào trong một thư viện lệnh người dùng có các thành phần chung. Việc
tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử dụng quá trình
trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ những vị trí
dữ liệu được lưu trữ với số lượng lớn. Phương pháp tối thiểu dữ liệu này
vượt trội hơn đối với việc xử lý bản ghi hệ thống lớn (dữ liệu kiểm định).
Tuy nhiên thì chúng kém hiệu quả trong việc phân tích luồng lưu lượng
mạng. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụng
trong phát hiện xâm nhập được kết hợp với các cây quyết định. Các mô hình
cây quyết định cho phép có thể phát hiện các sự bất thường trong một cơ sở
dữ liệu lớn. Kỹ thuật khác phải dùng đến các đoạn, cho phép trích mẫu của
các tấn cơng chưa biết. Điều đó được thực hiện bằng việc hợp lệ hóa các
mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được
cung cấp cho tấn công chưa biết đã cất giữ. Một kỹ thuật tối thiểu hóa dữ
liệu điển hình được kết hợp với việc tìm kiếm các nguyên tắc kết hợp. Nó
cho phép ai đó có thể trích kiến thức chưa hiểu trước đó về các tấn cơng mới
hoặc đã xây dựng trên mẫu hành vi thông thường. Sự phát hiện bất thường

thường gây ra các báo cảnh sai. Với việc tối thiểu hóa dữ liệu, nó dễ dàng
tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối
thiểu, do đó giảm đáng kể xác suất báo sai.
1.2. Hệ thống IPS
1.2.1. Giới thiệu
Hệ thống IPS (Intrusion Prevention System) là sự kết hợp các ưu điểm trong
kỹ thuật firewall và hệ thống phát hiện xâm nhập IDS (Intrusion Detection
System), nó có thể phát hiện ra các cuộc tấn công và ngăn chặn,cản trở ngay sau
khi phát hiện. Các hệ thống IPS thường được đặt ở vành đai mạng để có thể bảo vệ
tất cả các thiết bị trong mạng.
Giống với IDS, IPS kiểm tra gói tin, phân tích, ráp lại các đoạn, ráp lại các
TCP-segment, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Nó sẽ xác định
các hoạt động nguy hại rồi kết hợp với firewall nhằm ngăn chặn đồng thời lưu giữ
thơng tin và báo cáo.
Mục đích giải pháp IPS là bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ loại
bỏ nhưng lưu lượng mạng có hại để đảm bảo an tồn cho hệ thống. IPS có thể lọc
được:
 Ứng dụng độc hại, những cuộc tấn công “Trojan horse” nhằm vào mạng và
các ứng dụng cá nhâncó chứa mã độc qua việc sử dụng các nguyên tắc xác
định và các danh sách điều khiển truy nhập (access control lists);
AN TỒN ĐIỆN TỐN ĐÁM MÂY

1
9


 Các gói tin tấn cơng như gói tin từ LAND và WinNuke bằng việc sử dụng
các bộ lọc gói tốc độ cao;
 Sự lạm dụng giao thức và những hành động lảng tránh trong lưu lượng mạng
như Fragroute và những khảo sát lấn TCP (TCP overlap exploits);

 Các cuộc tấn công từ chối dịch vụ (DOS/DDOS) bằng việc sử dụng các
thuật toán lọc dựa trên cơ sở ngưỡng;
 Sự lạm dụng ứng dụng và những thao tác giao thức chống lại HTTP, FTP,
DNS, SMTP .v.v bằng cách sử dụng những quy tắc giao thức ứng dụng và
chữ ký;
 Cuộc tấn công quá tải, lạm dụng ứng dụng bằng việc sử dụng các giới hạn
tiêu thụ tài nguyên dựa trên cơ sở ngưỡng;
1.2.2. Kiến trúc của IPS
Hệ thống IPS quan trọng nhất là các yếu tố: nhanh, chính xác, thơng báo hợp
lý, phân tích được tồn bộ lưu lượng, ngǎn chặn gói tin độc hại và chính sách quản
lý mềm dẻo. IPS gồm 3 module chính là module phân tích luồng dữ liệu, phát hiện
tấn công và phản ứng.
Module phân tích luồng dữ liệu:
Module này lấy tất các gói tin đi đến mạng để thực hiện phân tích. Các gói
tín được hệ thống IPS nhận toàn bộ cả kể các gói tin có địa chỉ khơng phải của một
card mạng. Tất cả các gói tin này đều được lưu lại, phân tích, xử lý đến các trường
thơng tin. Bộ phân tích sẽ đọc và xác định kiểu gói tin, dịch vụ. Sau khi phân tích
sẽ được chuyển đến Module phát hiện cuộc tấn cơng.
Module phát hiện tấn cơng:
Module này có vai trị phát hiện các cuộc tấn cơng, đây cũng là
Module quan trọng nhất trong 3 Module. Hai phương pháp chính để phát hiện ra
các cuộc tấn cơng là dị sự lạm dụng và dị sự khơng bình thường.
Phương pháp dị sự lạm dụng sẽ phân tích các hoạt động của hệ thống, tìm
kiếm các sự kiện giống với các mẫu tấn cơng đã được thiết lập hay cịn là các dấu
hiệu tấn cơng. Chính vì thế phương pháp này còn được gọi là phương pháp dò dấu
hiệu. Ưu điểm của nó là phát hiện các cuộc tấn cơng nhanh, chính xác, khơng đưa
ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp quản trị viên
xác định được các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương
pháp này cũng có nhược điểm là không thể xác định các cuộc tấn công khơng có
các dấu hiệu trong cơ sở dữ liệu đã thiết lập, các cuộc tấn cơng mới. Chính vì thế

AN TỒN ĐIỆN TỐN ĐÁM MÂY

2
0


luôn phải cập nhật cho hệ thống IPS thường xuyên để phương pháp có thể chạy
hiệu quả.
Phương pháp dị sự khơng bình thường là phương pháp có kỹ thuật dị thơng
minh, nhận dạng các hành động khơng bình thường của mạng. Đối với phương
pháp này các cuộc tấn công sẽ khác so với hoạt động bình thường. Chúng sẽ được
lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống từ đó có thể
nhận dạng sự bất bình thường để xác định các cuộc tấn cơng. Một số kỹ thuật giúp
thực hiện dị sự khơng bình thường của phương pháp như:
 Phát hiện mức ngưỡng là kỹ thuật thể hiện tầm quan trọng của việc đo đếm
các hoạt động bình thường trên mạng. Các ngưỡng về các hoạt động trên
mạng được đặt ra. Nếu có sự bất thường ví dụ như đǎng nhập nhiều lần vượt
ngưỡng, sso lượng các tiến trình chạy trên CPU hay số lượng một loại gói
tin được gửi q mức... thì hệ thống đang có dấu hiệu bị tấn cơng;
 Phát hiện nhờ quá trình tự học là kỹ thuật gồm hai bước. Khi mới được thiết
lập, hệ thống phát hiện tấn công sẽ tự học và tạo ra cơ sở về cách cư xử của
mạng với các hoạt động bình thường. Sau khi khởi tạo, hệ thống sẽ bắt đầu
làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng
bằng việc so sánh với hồ sơ đã học và thiết lập. Chế độ tự học và chế độ làm
việc có thể chạy song song với nhau nhưng chế độ tự học sẽ dừng khi đang
trong cuộc tấn cơng;
 Phát hiện sự khơng bình thường của các giao thức là kỹ thuật cǎn cứ vào
hoạt động của các giao thức, dịch vụ của hệ thống nhằm tìm ra các gói tin
khơng hợp lệ, hoạt động bất thường có dấu hiệu của sự xâm nhập, tấn cơng.
Kỹ thuật này đặc biệt hiệu quả trong việc ngǎn chặn các hình thức qt

mạng, qt cổng nhằm thu thập các thơng tin cho các hacker. Phương pháp
dị sự khơng bình thường của hệ thống rất hữu hượng trong các cuộc tấn
công DOS/DDOS từ chối dịch vụ. Phương pháp có thể phát hiện được các
kiểu tấn công mới, cung cấp thông tin để dò sự lạm dụng trong hệ thống, tuy
nhiên phương pháp này lại thường tạo ra các cảnh báo sai làm giảm hiệu
suất hoạt động của mạng;
Module phản ứng
Khi phát hiện dấu hiệu của sự tấn công hoặc thâm nhập, Module phát hiện
tấn cơng sẽ gửi tín hiệu báo hiệu tới Module phản ứng. Module phản ứng sẽ kích
hoạt tường lửa nhằm ngǎn chặn cuộc tấn công, cảnh báo tới người quản trị. Tại
Module này, nếu chỉ đưa ra các cảnh báo tới quản trị viên thơi thì hệ thống này

AN TỒN ĐIỆN TỐN ĐÁM MÂY

2
1


được gọi là hệ thống phòng thủ bị động. Module phản ứng tùy theo hệ thống sẽ có
các chức năng khác nhau. Sau đây là một vài kỹ thuật ngǎn chặn:
 Kết thúc tiến trình: hệ thống IPS gửi các gói tin để phá huỷ tiến trình bị nghi
ngờ. Tuy nhiên lại có nhược điểm là thời gian gửi gói tin can thiệp chậm hơn
so với thời điểm bị tấn cơng, dễ dẫn đến tình trạng can thiệp sau khi tấn cơng
đã hồn tất. Đối với các giao thức hoạt động trên UDP như DNS, phương
pháp này hoạt động không mấy hiệu quả. Ngồi ra, gói tin can thiệp phải có
trường thứ tự đúng với các gói tin trong phiên làm việc của tiến trình tấn
cơng. Nếu tiến trình tấn cơng xảy ra nhanh thì phương pháp này khó có thể
thực hiện được;
 Huỷ bỏ tấn công: đây là kỹ thuật dùng tường lửa để hủy bỏ gói tin cũng như
chặn đường một gói tin đơn, phiên làm việc hoặc luồng thông tin tấn công.

Kỹ thuật này được coi là an tồn nhất nhưng lại dễ nhầm với các gói tin hợp
lệ;
 Thay đổi các chính sách của tường lửa: là kỹ thuật cho phép người quản trị
cấu hình lại chính sách bảo mật xảy ra cuộc tấn cơng. Nó sẽ tạm thời thay
đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi
cảnh báo tới người quản trị;
 Cảnh báo thời gian thực: kỹ thuật gửi các cảnh báo thời gian thực đến người
quản trị để họ nắm được chi tiết thông tin, đặc điểm của các cuộc tấn công.
 Ghi lại vào tệp tin: đây là kỹ thuật mà các dữ liệu của các gói tin sẽ được lưu
trữ trong hệ thống các tệp tin log nhằm quản trị viên có thể theo dõi các
luồng thông tin một cách dễ dàng;
1.2.3. Phân loại hệ thống IPS
IPS được chia thành hai loại chính là IPS trong luồng và ngoài luồng:
 IPS ngoài luồng(Promiscuous Mode IPS)
Hệ thống này sẽ không can thiệp trực tiếp vào luồng dữ liệu. Luồng
dữ liệu vào hệ thống mạng sẽ đi qua tường lửa và IPS. Từ đó nó sẽ có thể
kiểm sốt luồng dữ liệu vào nhằm phân tích và phát hiện các dấu hiệu của sự
xâm nhập, tấn công. Với vị trí này, IPS cịn có thể quản lý firewall và chỉ
dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ
lưu thông của mạng.
 IPS trong luồng (In-line IPS)
Vị trí hệ thống IPS nằm trước firewall nên luồng dữ liệu phải đi qua
nó trước khi tới được firewall. Ngồi ra khác biết với IPS ngồi luồng là hệ
AN TỒN ĐIỆN TỐN ĐÁM MÂY

2
2


thống có chức nǎng chặn lưu thơng (traffic-blocking). Điều đó làm cho IPS

có thể ngǎn chặn luồng nguy hiểm nhanh hơn so với IPS ngoài luồng
(Promiscuous Mode IPS). Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng
thơng tin ra vào mạng giảm đi.
Nhằm ngăn chặn các cuộc tấn công, hệ thống IPS luôn phải hoạt động
theo thời gian thực nên tốc độ của hệ thống rất quan trọng. Qua trình phát
hiện xâm nhập phải đủ nhanh để phát hiện, ngăn chặn các cuộc tấn công
ngay lập tức. Nếu khơng đáp ứng được thì hệ thống IPS coi như là vơ nghĩa,
khơng có tác dụng.
1.2.4. Các kỹ thuật xử lý trong IPS
Mục đích IPS là để phát hiện và ngăn chặn kẻ tấn công xâm nhập trái phép
vào hệ thống. Khơng phải một IPS có thể phát hiện và ngăn chặn được tất cả các
kiểu tấn công mà chỉ có những kiểu tấn cơng được định nghĩa sẵn,và các kỹ thuật
được áp dụng trong hệ thống phát hiện xâm nhập là:
Signature Based
 Signature Based (dựa trên chữ kí) thường được sử dụng bởi nhiều giải
pháp IPS;
 Chữ kí được thêm vào các thiết bị xác định mẫu mà các cuộc tấn cơng
phổ biến nhất xuất diện;
 Các chữ kí này có thể được thêm, điều chỉnh và cập nhật để xử lý các
cuộc tấn công mới;
 Đơn giản, dễ triển khai;
 Nhanh chóng phát hiện ra cuộc tấn cơng, ít có việc cảnh báo khơng
đúng;
 Tuy nhiên, khi có cuộc tấn cơng mới mà chưa có mẫu signature thì sẽ
không phát hiện được cuộc tấn công hay không. Không thể phát hiện
được sự thay đổi của cuộc tấn công đã biết trước đó;
Anomaly Based
 Khi xuất hiện sự bất thường, tín hiệu cảnh báo sẽ được phát ra, thơng
báo;
 Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự,

dạng, nguyên tắc thông thường;
 Nhanh chóng phát hiện ra cuộc tấn cơng từ trong mạng nội bộ do kẻ
tấn cơng có thể đã chiếm quyền được một thiết bị nào đó trong mạng;
AN TỒN ĐIỆN TOÁN ĐÁM MÂY

2
3


 Khơng cần dựa trên tập những dấu hiệu có sẵn;
 Tuy nhiên, rất mất thời gian chuẩn bị;
 Khó khăn trong việc định nghĩa những hành vi thông thường hay bất
thường;
 Sự phức tạp của phương pháp này gây khó khan rất nhiều cho người
phát triển hệ thống. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng
neural là những phương pháp dùng đến, nhưng chúng thật sự rất phức
tạp;
 Hay gây ra cảnh báo nhầm.
Policy Based
 Quan tâm nhiều hơn đến việc thực thi chính sách bảo mật của hệ
thống;
 Báo động được kích hoạt nếu các hoạt động được phát hiện vi phạm
chính sách bảo mật đã được tạo ra trước đó;
 Áp dụng cho tồn thiết bị trong mạng với những chính sách riêng biệt
rạch rịi;
 Xác thực và phản ứng rất nhanh, cũng như rất ít khi xảy ra trường hợp
cảnh báo sai;
 Tuy nhiên cũng có mặt hạn chế như: nếu them thiết bị mới vào mạng
thì thì lại cần cấu hình lại, khó khan khi quản trị từ xa.
Protocol Analysis Based

 Cơ chế tương tự như Signature-Based, nhưng đi sâu hơn về việc phân
tích giao thức bên trong gói tin;
 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp lệ hay
khơng;
 Kiểm tra nội dụng trong Payload.
1.3. Hệ thống phát hiện xâm nhập mạng Suricata
1.3.1. Giới thiệu về Suricata
Suricata là một hệ thống phát hiện xâm nhập dựa trên mã nguồn mở. Nó
được phát triển bởi Open Information Security Foundation (OISF).
Công cụ này được phát triển không nhằm cạnh tranh hay thay thế các cơng
tụ hiện có, nhưng nó sẽ mang lại những ý tưởng và cơng nghệ mới trong lĩnh vực
an ninh mạng.
Suricata là công cụ IDS/IPS (Intrusion Detection System / Intrusion
Prevention System) phát hiện và ngăn chặn xâm nhậpdựa trên luật để theo dõi lưu
AN TỒN ĐIỆN TỐN ĐÁM MÂY

2
4