Chương IX
Ố Á À
HỆ TH
Ố
NG PH
Á
T HIỆN V
À

NGĂNCHẶN XÂM NHẬP
NGĂN

CHẶN

XÂM

NHẬP

(IDS – Intrusion Detection System)
Bối cảnh
Theo Mạng An toàn thông tin VSEC (The VietNamese
security network), 70% website tạiViệtNamcóthể bị
h
h
hố
hể
bị
hk
kiể
xâm n
h

ập, trên 80%
h
ệ t
hố
ng mạng có t
hể
bị
h
ac
k
er
kiể
m
soát. Điềunàychothấy chính sách về bảomậtcủa các hệ
thống
thông
tin
của
Việt
Nam
chưa
được
quan
tâm
và
đầu
thống
thông
tin
của

Việt
Nam
chưa
được
quan
tâm
và
đầu
tưđúng mức.
Trong bốicảnh đó, việc phát triểnvàsử dụng các hệ
thống phát hiệnxâmnhập - IDS ngày càng trở nên phổ
biế
biế
n.
Bối cảnh
Nhiệmvụ của các IDS này là:
T
hu thậpdữ liệumạng
P
hân tích
IDS
T
hu

thập

dữ

liệu


mạng
P
hân

tích
Internet
Đánh giá
Cảnh báo cho chuyên gia
dấu hiệu tấn công
Hệ thống phát hiệnxâmnhậpcó2hướng tiếpcậnchính
là Tiếpcậndựa trên phát hiệnbấtthường và Tiếpcậndựa
ê
dấ
hiệ
tr
ê
n
dấ
u
hiệ
u
Kỹ thuật phát hiện xâm nhập trái phép
•
Firewall
là
một
hệ
thống
“
khóa

”
chốt
chặn
ở
cửa
ngõ
Firewall
là
một
hệ
thống
khóa
chốt
chặn
ở
cửa
ngõ
mạng, thì hệ thống IDS có thểđược coi như các “cảm
ứng giám sát” đượcdặtkhắpnơitrongmạng để cảnh báo
về các cuộctấncôngđã“quamặt” đượcFirewallhoặc
xuất phát từ bên trong mạng
Một
IDS
ó
hiệ
hâ
tí h
á
ói
ti

à
Fi ll
•
Một
IDS
c
ó
n
hiệ
mvụ
phâ
n
tí
c
h
c
á
cg
ói
ti
nm
à
Fi
rewa
ll
cho phép đi qua, tìm kiếmcácdấuhiệutấn công từ các
dấu
hiệu
đã
biết

hoặc
thông
qua
việc
phân
tích
các
sự
dấu
hiệu
đã
biết
hoặc
thông
qua
việc
phân
tích
các
sự
kiệnbấtthường, từđóngănchặncáccuộctấn công
trước khi nó có th
ể
g
â
y
ra nhữn
g
h
ậ

u
q
u
ả
x
ấ
uvớit
ổ
gy
g
ậ
q
chức.
Các thành phần chính củamộthệ thống IDS
Traffi
c

Alerts
Console
c
Network
Sensor
Thành phầncủamộthệ thống IDS
Engine
Thành

phần

của


một

hệ

thống

IDS
Các thành phần chính củamộthệ thống IDS
• Cảm ứng (Sensor):Làbộ phận làm nhiệmvụ phát hiệncác
kiệ
ó
khẳ
ă
đ
d
ih
ủ
hệ
thố
s
ự
kiệ
nc
ó
khẳ
n
ă
ng
đ
e

d
ọaann
i
n
h
c
ủ
a
hệ
thố
ng mạng,
Sensor có chứcnăng rà quét nội dung của các gói tin trên
m
ạ
n
g,
so sánh n
ộ
i dun
g
với các mẫuvà
p
hát hi
ệ
n ra các dấu
ạ g,
ộ
g
p
ệ

hiệutấn công hay còn gọilàsự kiện.
• Giao diện(Console):Làbộ phận làm nhiệmvụ tương tác với
ời
ả
t ị
hậ
lệ h
điề
khiể
h t
độ
bộ
S
ngư
ời
qu
ả
n
t
r
ị
,n
hậ
n
lệ
n
h
điề
u
khiể

n
h
oạ
t
độ
ng
bộ
S
ensor,
Engine và đưaracảnh báo tấn công.
•
Bộ
xử
lý
(Engine)
:
Có
nhiệm
vụ
ghi
lại
tất
cả
các
báo
cáo
về
Bộ
xử
lý

(Engine)
:
Có
nhiệm
vụ
ghi
lại
tất
cả
các
báo
cáo
về
các sự kiện được phát hiệnbởi các Sensor trong mộtcơ sở dữ
liệuvàsử dụng mộthệ thống các luật để đưa ra các cảnh báo
ê
á
kiệ
ih
hậ
đ
h
hệ
hố
h ặ
h
tr
ê
nc
á

cs
ự
kiệ
nann
i
n
h
n
hậ
n
đ
ượcc
h
o
hệ
t
hố
ng
h
o
ặ
cc
h
o
ngườiquảntrị.
Phân loại
¾
Phâ
l i
d

ê
đối
iá
á
¾
Phâ
n
l
oạ
i
d
ựatr
ê
n
đối
tượng g
iá
ms
á
t
 Host-
b
ase
d
IDS
¾
hâ
l i
d
ê

hà h
i
 Network-based IDS
¾
P
hâ
n
l
oạ
i
d
ựatr
ê
n
hà
n
h
v
i
:

Phát
hiện
xâm
nhập
dựa
trên
dấu
hiệu
Phát

hiện
xâm
nhập
dựa
trên
dấu
hiệu
 Phát hiệnxâmnhậpdựa trên phát hiệnbấtthường
Phân loại dựa trên đối tượng giám sát
• Host-based IDS:
ể
ể
ế
 HIDS ki
ể
mtr
a
lưu thông mạng đang được chuy
ể
n đ
ế
n
máy trạm, bảovệ máy trạm thông qua việcngănchặn
các
gói
tin
nghi
ngờ
Có
khả

năng
kiểm
tra
hoạt
động
các
gói
tin
nghi
ngờ
.
Có
khả
năng
kiểm
tra
hoạt
động
đăng nhập vào máy trạm, tìm kiếmcáchoạt động
kh
ô
n
g
b
ình
t
h
ườ
n
g

nh
ư
dò
t
ìm
passwo
r
d,
l
eo
t
h
a
n
g
ôg
b
t ườ g
ư
dò
t
passwo d,
eo
tag
đặc quyền

Hệ
thống
IDS
có

hiệu
quả
cao
khi
phát
hiện
việc
Hệ
thống
IDS
có
hiệu
quả
cao
khi
phát
hiện
việc
người dùng sử dụng sai các tài nguyên trên mạng.
Nếungười dùng cố gắng thựchiện các hành vi không
hợpphápthìhệ thống HIDS thông thường phát hiện
và tậphợp thông tin thích hợpnhất và nhanh nhất.
Phân loại dựa trên đối tượng giám sát
•
H
os
t
-based IDS:
 ĐiểmyếucủaHIDSlàcồng kềnh
Vị trí của HIDS

Phân loại dựa trên đối tượng giám sát
• Network-based IDS (NIDS):
 NIDS là mộtgiải pháp xác định các truy cập trái phép
bằng cách kiểmtracácluồng thông tin trên mạng và giám
át
hiề
á
t
NIDS
t
hậ
à
l ồ
thô
ti
s
át
n
hiề
um
áy
t
rạm,
NIDS
t
ru
y
n
hậ
pv

à
o
l
u
ồ
n
g
thô
n
g
ti
n
trên mạng bằng cách kếtnối vào các Hub, Switch để bắt
các
gói
tin,
phân
tích
nội
dung
gói
tin
và
từ
đó
sinh
ra
các
các
gói

tin,
phân
tích
nội
dung
gói
tin
và
từ
đó
sinh
ra
các
cảnh báo.
 Trong hệ thống NIDS, các Sensor được đặt ở các điểm
ầ
ể
ề
c
ầ
nki
ể
mtratron
g
mạn
g
,thườn
g
là trướcmi
ề

n DMZ()
hoặc ở vùng biên củamạng, các Sensor bắttấtcả các gói
tin
lưu
thông
trên
mạng
và
phân
tích
nội
dung
bên
trong
tin
lưu
thông
trên
mạng
và
phân
tích
nội
dung
bên
trong
củatừng gói để phát hiệncácdấuhiệutấncôngtrong
m
ạ
n

g
.
Phân loại dựa trên đối tượng giám sát
• Networ
k
-based IDS
(
NIDS
)
:
()
 ĐiểmyếucủaNIDSlàgâyảnh hường đếnbăng
thông mạng do trựctiếp truy cậpvàolưu thông mạng.
NIDS không được định lượng đúng về khả năng xử lý sẽ
trở thành một nút cổ chai gây ách tắc trong mạng.
Phân loại dựa trên đối tượng giám sát
Vị trí củaNIDS
Vị

trí

của

NIDS
HIDS và NIDS
HIDS NIDS
h
ị
hấ
ị

Tín
h
quảntr
ị
t
hấ
p. Quảntr
ị
tập trung.
Dễ cài đặt Khó cài đặt
Tính
bao
quát
thấp
.
Do
mỗi
máy
trạm
chỉ
nhận
Tính
bao
quát
cao
do
có
cái
nhìn
toàn

diện
về
Tính
bao
quát
thấp
.
Do
mỗi
máy
trạm
chỉ
nhận
đượctrafficcủamáyđó cho nên không thể có
cái nhìn tổng hợpvề cuộctấn công.
Tính
bao
quát
cao
do
có
cái
nhìn
toàn
diện
về
traffic mạng.
Phụ thuộcvàoHệđiều hành. Do HIDS được cài
đặttrênmáytrạmnênphụ thuộcvàoHệđiều
hành

trên
máy
đó
Không phụ thuộcvàoHĐHcủamáytrạm.
hành
trên
máy
đó
.
Không ảnh hưởng đếnbăng thông mạng. NIDS do phân tích trên luồng dữ liệu chính
nên có ảnh hưởng đếnbăng thông mạng.
Không gặpvấn đề về giao thứcGặpvấn đề về giao thứctruyền: Packet
Fragment, TTL.
Phân loại dựa trên hành vi
¾
Knowledge
-
based
IDS
:
¾
Knowledge
based
IDS
:
 Sử dụng CSDL để lưutrữ thông tin về dạng tấn công
 D
ữ
liệu thu bởiIDSđượcsosánhvớinội dun
g

củaCSDL
¾ Signature-based IDS:
g
 Nếugiống nhau thì đưaracảnh báo
 Sử dụng định nghĩatrừutượng để mô tả về tấn công
 Sự kiện thu bởiIDSđượcsosánhvớicácmục trong CSDL
 Nếugiống nhau thì đưaracảnh báo
Phân loại dựa trên hành vi
¾
Knowledge
-
based
IDS
:
¾
Knowledge
based
IDS
:
 Sử dụng CSDL để lưutrữ thông tin về dạng tấn công
 D
ữ
liệu thu bởiIDSđượcsosánhvớinội dun
g
củaCSDL
¾ Signature-based IDS:
g
 Nếugiống nhau thì đưaracảnh báo
 Sử dụng định nghĩatrừutượng để mô tả về tấn công
 Sự kiện thu bởiIDSđượcsosánhvớicácmục trong CSDL

 Nếugiống nhau thì đưaracảnh báo
Nguyên lý hoạt động
2. Phân tích
3. Liên lạc
1. Giám sát
5. Phản ứng
4. Cảnh báo
Nguyên lý hoạt động của một hệ thống IDS
Nguyên lý hoạt động
• Giám sát mạng (Monotoring):Giámsátmạng là quá
ề
trình thu thập thông tin v
ề
lưu thông trên mạng. Việcnày
thông thường đượcthựchiệnbằng các Sensor.
• Phân tích lưu thông (Analyzing):Khiđãthuthập được
những thông tin cầnthiếttừ những điểmtrênmạng. IDS
iế
hà h
hâ
íh
hữ
dữ
liệ
h
hậ
đ
Thô
t
iế

n
hà
n
h
phâ
nt
í
c
h
n
hữ
ng
dữ
liệ
ut
h
ut
hậ
p
đ
ược.
Thô
ng
thường ở giai đoạnnày,hệ thống IDS sẽ dò tìm trong
dòng
traffic
mạng
những
dấu
hiệu

đáng
nghi
ngờ
dựa
dòng
traffic
mạng
những
dấu
hiệu
đáng
nghi
ngờ
dựa
trên kỹ thuật đốisánhmẫuhoặc phân tích hàn vi bất
thườn
g
.
Nế
u
p
hát hi
ệ
nrad
ấ
uhi
ệ
ut
ấ
ncôn

g,
các Sensor
g
p
ệ
ệ
g,
sẽ gửicảnh báo về cho trung tâm để tổng hợp.
Nguyên lý hoạt động
•
L
iên l
ạ
c:Giaiđo
ạ
nnà
y
g
i
ữ
m
ộ
tvaitrò
q
uan tr
ọ
n
g
tron
g

ạ
ạ
y
g
ộ
q
ọ g
g
hệ thống IDS. Việcliênlạcdiễn ra khi Sensor phát hiện
ra dấuhiệutấn công hoặcBộ xử lý thựchiênthayđổi
ấ
ề
ể
ố
c
ấ
uhình,đi
ề
ukhi
ể
nSensor.Thôngthường các hệ th
ố
ng
IDS sử dụng các bọ giao thức đặcbiệt để trao đổi thông
tin
giữa
các
thành
phần
Các

giao
thức
này
phải
đảm
bảo
tin
giữa
các
thành
phần
.
Các
giao
thức
này
phải
đảm
bảo
tính Tin cậy, Bí mậtvàChịulỗitốt, ví dụ: SSH, HTTPS,
SN
MP
v
3
,
P
ostO
ffi
ce,
.

.
.
SN v
3
,
ostO ce,
.
.
.
Nguyên lý hoạt động
• Cảnh báo (Alert):Saukhiđãphântíchxongdữ liệu, hệ
thống IDS cầnphải đưarađượcnhững cảnh báo. Ví dụ
như:
Cả h
bá
đị
hỉ
khô
h
lệ

Cả
n
h
bá
o
đị
ac
hỉ
khô

ng
h
ợp
lệ
.
 Cảnh báo khi mộtmáysử dụng hoặccố gắng sử dụng
những
dịch
vụ
không
hợp
lệ
những
dịch
vụ
không
hợp
lệ
.
 Cảnh báo khi máy cố gắng kếtnối đếnnhững máy
n
ằ
mtron
g
danh sách cân theo dõi
ở
tron
g
ha
y

n
g
oài
g
g
y
g
mạng.

Nguyên lý hoạt động
•
Phản
ứng
(Response)
:
Trong
một
số
hệ
thống
IDS
tiên
•
Phản
ứng
(Response)
:
Trong
một
số

hệ
thống
IDS
tiên
tiếnhiện nay, sau khi các giai đoạn trên phát hiện được
dấu
hi
ệu
tấ
n
cô
n
g,
h
ệ
t
h
ố
n
g
kh
ô
n
g
nh
ữ
n
g
cả
nh

báo
c
h
o
dấu
ệu
tấ
cô g,
ệ
t ố g
ôg
ữ g
cả
báo
co
ngườiquảntrị mà còn đưa ra các hành vi phòng vệ ngăn
chặnhànhvitấncôngđó. Điều này giúp tăng cường khả
ể
năng t
ự
vệ củ
a
Mạng, Các hành động mà IDS có th
ể
đưa
ra như:

N ắtdị h

N

g
ắt

dị
c
h
vụ.
 Gián đoạn phiên.

Cấm địachỉ IP tấn công
Cấm

địa

chỉ

IP

tấn

công
.
 Tạo log.
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN
XÂM NH
Ậ
P
IDS
yêu
cầu

Firewall
chặn
cổng
80
trong
60
s
:
Ậ
IDS
yêu
cầu
Firewall
chặn
cổng
80
trong
60
s
:
HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN
BẤT THƯỜNG
Định
nghĩa
bất
thường
trong
mạng
Định
nghĩa

bất
thường
trong
mạng
Bấtthường trong mạng là thuậtngữ dùng để chỉ tình
trạng
hoạt
động
của
hệ
thống
mạng
hoạt
động
ngoài
trạng
trạng
hoạt
động
của
hệ
thống
mạng
hoạt
động
ngoài
trạng
thái bình thường
¾ Bấtthường do hỏng hóc: Lỗicủacácthiếtbị trong
ố

ố
hệ th
ố
ng, làm giảmhiệunăng củahệ th
ố
ng
¾ Bấtthường do sự cố an ninh
Xâ
hậ
ừ
bê
ài
ừ
á
á
íh
khô
đ
á

Xâ
mn
hậ
pt
ừ
bê
n ngo
ài
:t
ừ

c
á
cm
á
yt
í
n
h
khô
ng
đ
ượcx
á
c
minh
 Xâm nhậptừ bêntrong:Truycập vào dl không được phân
quyền
 Lạm quyền: Sử dụng sai quyềntruycậpvàohệ thống
HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN
BẤT THƯỜNG
IDS
dựa
trên
phát
hiện
bất
thường
IDS
dựa
trên

phát
hiện
bất
thường
IDS dựa trên phát
hiện bất thường
Hoạt động củaIDSdựa
Hoạt

động

của

IDS

dựa

trên phát hiện bất thường
Các kỹ thuật phát hiện bất thường
•
Threshold
Detection
:
Kỹ
thuật
này
nhấn
mạnh
thuật
ngữ

Threshold
Detection
:
Kỹ
thuật
này
nhấn
mạnh
thuật
ngữ
“đếm”. Các mứcngưỡng về các hoạt động bình thường
được đặtra,n
ế
ucós
ự
bấ
tthườn
g
nào đónh
ư
lo
g
in với
g
g
số lần quá quy định, số lượng các tiếntrìnhhoạt động
trên CPU, số lượng mộtloạigóitinđượcgửivượt quá
ứ
m
ứ

c. .
Các kỹ thuật phát hiện bất thường
• Seft-learning Detection:Kỹ thuậtdònàybaogồmhai
ế
ố
ấ
b
ước, khi thi
ế
tlậphệ th
ố
ng
p
hát hiệnt
ấ
n công, nó sẽ
chạy ở chếđộtự họcvàthiếtlậpmột profile mạng với
á
h t
độ
bì h
th ờ
S
thời
i
khởi
t
hệ
c
á

c
h
oạ
t
độ
ng
bì
n
h
th
ư
ờ
ng.
S
au
thời
g
i
an
khởi
t
ạo,
hệ
thống sẽ chạy ở chếđộsensor theo dõi các hoạt động
bất
thường
của
mạng
so
với

profile
đã
thiết
lập
Chế
độ
bất
thường
của
mạng
so
với
profile
đã
thiết
lập
.
Chế
độ
tự họccóthể chạysongsongvớichếđộsensor để cập
nhật
b
ản
p
rofile củamìnhnhưn
g
n
ế
udòr
a

có tín hiệu
p
g
tấn công thì chếđộtự họcphảidừng lạitớikhicuộctấn
công kết thúc.