LỜI CẢM ƠN
Lời đầu tiên tôi xin cảm ơn chân thành và sâu sắc nhất đến Thầy
TS. ĐINH ĐỨC ANH VŨ, Thầy đã dành rất nhiều thời gian hướng dẫn tôi
một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về
luận văn này.
Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy,
Cô ở HỌC VIỆN BƯU CHÍNH VIỄN THÔNG đã truyền đạt nhiều kiến thức quý
báu cho tôi trong suốt quá trình học tập tại đây.
Xin gởi lời cám ơn đến Thầy trưởng khoa CNTT TS. TRẦN CÔNG HÙNG,
TS. TÂN HẠNH, TS.VÕ VĂN KHANG đã có những góp ý hết sức quý báu cho bản
luận văn này.
Xin cảm ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động
viên trong suốt thời gian qua, một người bạn, đã góp ý rất nhiều cho luận văn.
TP. Hồ Chí Minh, tháng 6-2012
Học viên thực hiện luận văn
ĐÀO ANH VŨ
- i -
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của
Thầy TS.ĐINH ĐỨC ANH VŨ. Các kết quả nêu trong luận văn là hoàn toàn trung
thực và chưa được công bố trong bất kỳ một công trình nào khác.
Học viên thực hiện luận văn
ĐÀO ANH VŨ
- ii -
MỤC LỤC
LỜI CẢM ƠN i
LỜI CAM ĐOAN ii
MỤC LỤC iii
DANH MỤC CÁC TỪ VIẾT TẮT iv
DANH MỤC CÁC HÌNH v
MỞ ĐẦU 9

CHƯƠNG 1: TỔNG QUAN 12
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG
TRÊN MẠNG 16
CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 44
CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM 62
CHƯƠNG 5: GIỚI THIỆU SNORT RULE 69
CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 74
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 95
TÀI LIỆU THAM KHẢO 97
- iii -
DANH MỤC CÁC TỪ VIẾT TẮT
Viết
tắt
Tiếng Anh Tiếng Việt
VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam
IDS Intrusion Detection System Phát hiện xâm nhập hệ thống
NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống
mạng
DoS Denial Of Service
Từ chói dịch vụ
IPS Intrusion prevention system Phòng chống xâm nhập hệ thống
LAN Local Area Network Mạng cục bộ
HIDS Host Intrusion Detection System
SYN Synchronize
FIN Finish
OS Operating System Hệ điều hành
TCP Transmission Control Protocol
UDP User Datagram Protocol
ICMP Internet Control Message Protocol
IP Internet Protocol

CLI Cisco Command Line Interface
PCRE Perl Compatible Regular
Expressions
ISS hãng Internet Security Systems
RAID Recent Advances in Intrusion
Detection
PERL Perl Programming Language
- iv -
DANH MỤC CÁC HÌNH
Hình 0.1 Nhiệm vụ của một IDS 12
Hình 0.2 Biểu đồ thống kê hệ thống máy tính bị tấn công 13
Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet 15
Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011 16
Hình 2.1 Intrustion Detection system activities 23
Hình 2.2 Intrustion Detection system infrastructure 24
Hình 2.3 Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di
chuyển giữa các thành phần của hệ thống 25
Hình 2.4 Các thành phần chính của 1 hệ IDS 26
Hình 2.5 Mô hình triển khai Host-based IDS agent 27
Hình 2.6 Mô hình triển khai Network- Base IDS 29
Hình 2.7 Mô hình triển khai Sensor kiểu thẳng hàng 31
Hình 2.8 Mô hình triển khai Sensor kiểu thụ động 32
Hình 2.9 Mô hình triển khai Wireless IDS 34
Hình 2.10 Mô hình triển khai trên NBAS 36
Hình 2.11 Mô hình vị trí của Honeypot IDS 37
Hình 2.12 Cơ chế phát hiện sự lạm dụng 44
- v -
Hình 2.13 Cơ chế phát hiện sự không bình thường 45
Hình 3.1 Mô hình IPS 47
Hình 3.2 Promicious mode 51

Hình 3.3 Inline mode 52
Hình 3.4 Signature-base 53
Hình 3.5 Anomaly-base 56
Hình 3.6 Policy-base 58
Hình 4.1 Các thành phần của snort 66

Hình 5.1 Cấu trúc một rule trong snort 72
Hình 6.1
Mô hình triển khai snort IDS
78
Hình 6.2 Quản lý snort bằng giao diện đồ họa 81
Hình 6.3 Quản lý rules trên giao diện đồ họa 81
Hình 6.4 Phát hiện xâm nhập trên Base giao diện web 83
Hình 6.5 Phát hiện có người Ping Trong mạng 84
Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa 84
Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa 85
Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa 85
- vi -
Hình 6.9 Chống SQL injection cho web server 86
Hình 6.10 Phát hiện cảnh báo SQL injection 86
Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection 87
Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection 87
Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection 88
Hình 6.14 Chống Ping of Death ( DoS, DDoS ) 88
Hình 6.15 Tín hiệu cảnh báo tấn công ddos 89
Hình 6.16 Chống scanning port trong mạng lan 89
Hình 6.17 Chống Scan và Block IP 90
Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP 90
Hình 6.19 Đăng ký account Snort 92
Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort 92

Hình 6.21 Tạo mật mã truy cập oinkcode 93
Hình 6.22 Cập nhật rules tự động trong snort 95
Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công 96
- vii -
DANH MỤC CÁC BẢNG
Bảng 2.1: So sánh giữa HIDS và NIDS 30
Bảng 5.1: Quy định các loại giao thức 74
Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP 75
Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP 75
Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP 76
- viii -
MỞ ĐẦU
Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho
con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ
khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách
thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập.
Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,
với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương
pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi
ngày một nhiều.
Theo mạng an toàn thông tin VSEC (The Vietnamese security network),
70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị
hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông
tin của việt nam chưa được quan tâm và đầu tư đúng mức.
Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâm
nhập – IDS ngày càng trở nên phổ biến.
Nhiệm vụ của những IDS này là :
Hình 0. Nhiệm vụ của một IDS
Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát
hiện bất thường và tiếp cận dựa trên dấu hiệu.

- 9 -

Interne
t
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng
quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho
thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ
chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày
càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ
thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát
luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gần
đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%
các cuộc tấn công được thực hiện là ở lớp ứng dụng web). Trong đó hai kĩ thuật tấn
công được các hacker sử dụng phổ biến là cross-site scripting và sql injection :
Hình1. Biểu đồ thống kê hệ thống máy tính bị tấn công
Kiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hành
bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cách
lừa người dùng nhấn vào những liên kết này. Khi đó đoạn mã độc hại này sẽ được
thực thi trên máy tính của nạn nhân. Kỹ thuật thực hiện các cuộc tấn công kiểu này
không có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng và
server (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc
- 10 -
không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những URL
bị chèn thêm các mã độc hại. Còn SQL Injection liên quan đến một kĩ thuật chèn
các từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác
trên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điều
khiển quá trình thực thi câu lệnh SQL ở server.

Vì vậy, cần có một hệ thống phòng thủ thật vững chắc có thể đứng vững trước các
cuộc tấn công mạng ngày càng gia tăng về quy mô lẫn kỹ thuật. Một hệ thống mạng
ngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo và
phòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công có
nguy cơ làm tổn hại hệ thống mạng.
Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lối
vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả các
thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước
khi truyền, ký trước khi truyền,
Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập trái
phép trên mạng (NIDS-Network Intrusion Detection System).
Đề tài : “xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS)
mô phỏng trên phần mềm snort”.
Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn cũng
còn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thời
gian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này. Rất mong sự góp
ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu.
- 11 -
CHƯƠNG 1: TỔNG QUAN
1.1. Giới thiệu
Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng
07/2010 đã có hơn 440 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụ
hướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâu
máy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh
(hình 1.2) ; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơn
bao giờ hết. Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứu
nhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID
(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm
tổ chức đều đặn, và lần thứ 13 diễn ra tại Ottawa, Canada vào Semtemper 15-
17/2010 [W2] (lần 14 tại Menlo Park, California, September 20-21/2011).

Hình 1.1. Tình hình phát triển số lượng máy tính trên Internet.
- 12 -
Hình 1.2. Malware mới xuất hiện mỗi tháng trong năm 2011.
Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúp
các doanh nghiệp được bảo mật hơn. Các nghiên cứu này cho thấy bảo mật, phòng
chống tấn công, xâm nhập ở Việt Nam chưa cao. Vì vậy, bảo mật hệ thống máy tính
ở Việt Nam cần được quan tâm nhiều hơn. Những hệ thống bảo mật nên thiết kế
triển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấn
công, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵn
sàng, và bảo mật cho hệ thống mạng.
1.2. Mục tiêu nghiên cứu của luận văn
Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòng
chống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT.
Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ lọc gói
ở tầng bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xây
dựng một hệ thống phát xâm nhập mạng (IDS).
- 13 -
1.3. Giới thiệu các chương mục của luận văn
Chương 1: Tổng quan
Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu và
những đóng góp của luận văn.
Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng
Chương 2 trình bày các mô hình và phương pháp phát hiện tấn công, xâm
nhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật phát
hiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể. Thiết kế các vị trí đặt
hệ thống phát hiện tấn công, xâm nhập. Đồng thời chương này cũng trình bày các
kỹ thuật tấn công, xâm nhập.
Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS)
Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũng
như những thành phần của một IPS. Chương này hết sức quan trọng, chính là cơ sở

để phòng chống xâm nhập mạng.
Chương 4: Triển khai hệ thống phát hiện xâm nhập
Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở Snort,
các thành phần của snort và các chế độ hoạt động của nó.
Chương 5: Giới thiệu Snort rule
Chương 5 này giới thiệu cho chúng ta biết những thành phần của một rule
trong snort, từ đó dựa vào những thành phần này mà chúng ta có thể điều chỉnh
hoặc viết lại những rule cho phù hợp với hệ thống đang chạy, thêm một kênh hữu
ích cho người quản trị mạng nắm bắt được những bất thường, tấn công, virus dạng
hướng thời gian, diễn ra nhanh trên mạng của mình.
Chương 6: Thực nghiệm và đánh giá.
- 14 -
Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâm
nhập trong mạng LAN.
Quản lý phần mềm Snort bằng giao diện đồ họa, đồng thời có thể xem tín
hiệu cảnh báo thông qua giao diện web như: base, mail, tin nhắn sms qua điện thoại
di động. Có thể xuất ra report ngay trên web chúng ta có thể xem theo giờ, ngày,
tháng và in ra.
Trong chương này snort còn cho chúng ta cập nhật các rules tự động trong hệ
thống khi VRT sourcefire cập nhật những lỗ hỏng trên internet thì hệ thống chúng
ta cũng được cập nhật những rules mới này cho toàn hệ thống.
Chương 7: Kết luận và hướng phát triển
1.4. Những đóng góp của luận văn
- Đưa ra phương pháp xây dựng hệ thống phát hiện xâm nhập và phòng
chống xâm nhập mạng.
- Triển khai trên hệ thống mạng Lan của Trường Cao Đẳng Nghề Ispace.
- Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các
kỹ thuật phòng chống xâm nhập trái phép trên mạng.
- 15 -
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT

HIỆN TẤN CÔNG TRÊN MẠNG
Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công,
xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuật
phát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host và
giám sát ở mức độ network. Đồng thời chương này cũng trình bày các kỹ thuật xử
lý dữ liệu.
2.1. Giới thiệu :
Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức
từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không
lực Hoa Kỳ [1]. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến,
một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên
cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển theo sự
bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và
thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco
nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS
tên là Wheel [1].
Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm
có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệ
thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,
bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày
càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn
trong nền tảng bảo mật của các tổ chức [2].
- 16 -
2.2. Một số khái niệm.
2.2.1. IDS.
Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệ
thống mạng để tìm ra các dấu hiệu vi phạm các quy định bảo mật máy tính, chính
sách sử dụng và các tiêu chuẩn an toàn thông tin. Các dấu hiệu này xuất phát từ
nhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép,
người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1].

2.2.2. Phát hiện xâm nhập.
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ
thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm
nhập bất hợp pháp”. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó
trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một
người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ
chưa được cấp phát [1].
2.2.3. Network IDS
Network IDS (NIDS) là các hệ thống phát hiện tấn công, nó có thể bắt giữ
các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh
chúng với cơ sở dữ liệu các tín hiệu [1],[2].
2.2.4. Host IDS
Host IDS (HIDS) được cài đặt như là một tác nhân trên máy chủ. Những hệ
thống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụng
hoặc của hệ thống để phát hiện những hành động xâm nhập[1], [2].
2.2.5. Signature
Là dấu hiệu tìm thấy trong các gói tin, được sử dụng để phát hiện ra một
cuộc tấn công. Ví dụ ta có thể tìm thấy các dấu hiệu trong IP hearder, hearder của
tầng giao vận (TCP, UDP hearder) hoặc hearder tầng ứng dụng. Các nhà cung cấp
- 17 -
IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát
hiện ra [1].
2.2.6. Alert.
Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp.
Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều
cách khác. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên
gia bảo mật có thể xem lại. Thông tin mà IDS thu được sẽ lưu lại trong file để người
quản trị có thể theo dõi những gì đang xảy ra trong hệ thống mạng. Chúng có thể
được lưu lại dưới dạng text hoặc dạng nhị phân [1].
2.2.7. False Alarm

Là những thông báo đúng về một dấu hiệu xâm nhập nhưng hành động sai
[1].
2.2.8. Sensor
Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng
để bắt tín hiệu âm thanh, màu sắc, áp xuất thì sensor ở đây sẽ bắt các tín hiệu có
dấu hiệu của xâm nhập bất hợp pháp [1].
2.3. Chức năng của IDS
 Nhận diện các nguy cơ có thể xảy ra.
 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.
 Nhận diện các hoạt động thăm dò hệ thống.
 Nhận diện các chính sách yếu khuyết của chinh sách bảo mật.
 Ngăn chặn vi phạm chính sách bảo mật.
 Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát.
 Xuất báo cáo [1].
- 18 -
2.4. Các phương pháp nhận biết tấn công
Các hệ thống IDS thường dùng nhiều phương pháp nhận biết khác nhau,
riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện [1]. Có
thể chia thành các phương pháp nhận biết chính sau:
2.4.1. Nhận biết dựa vào dấu hiệu (Signature-base).
Sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với các
dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với các mối
nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các
mối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn tránh. Signature-base
không thể theo vết và nhận diện trạng thái của các truyền thông phức tạp [1].
2.4.2. Nhận diện bất thường (Anomaly-base)
So sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát
nhằm xác định các độ lệch. Một hệ IDS sử dụng phương pháp Anormaly-base
detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được
phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một

khoảng thời gian. Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụng
phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các
ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường [1], [2].
Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic. Static
profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nên
không chính xác, và cần phải được tái tạo định kỳ. Dynamic profile được tự động
điều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều này
cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu
( evasion techniques). Ưu điểm chính của phương pháp này là nó rất có hiệu quả
trong việc phát hiện ra các mối nguy hại chưa được biết đến.
- 19 -
2.4.3. Phân tích trạng thái giao thức (Stateful protocol analysis)
Phân tích trạng thái protocol là quá trình so sánh các profile định trước của
hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó
xác định độ lệch. Khác với phương pháp Abnomaly-base detection, phân tích trạng
thái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó
quy định 1 protocol nên làm và không nên làm gì. "Stateful" trong phân tích trạng
thái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vận
chuyển, và các giao thức ứng dụng có trạng thái [1],[2].
Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp
trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là
phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công
khi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức.
2.5. Cơ sở hạ tầng IDS
Nhiệmvụ chính của hệ thống IDS là phòng thủ máy tính bằng cách phát hiện
một cuộc tấn công và có thể đẩy lùi nó. Phát hiện tấn công thù địch phụ thuộc vào
số lượng và loại hành động thích hợp.
Hình 2.1. Intrustion Detection system activities
Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn
của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý

của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ
- 20 -
của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập được
liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính
của mỗi hệ thống IDS) để phát hiện các cuộc tấn công [1], [2].
Khi phát hiện có xâm nhập hệ thống IDS phát các cảnh báo đến người quản
trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc
bởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên
làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng
các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức.
Hình 2.2. Intrustion Detection system infrastructure
2.6. Cấu trúc IDS
2.6.1. Các thành phần cơ bản
(a) Sensor / Agent
Giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng
Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạngHost-base
IDS/IPS.
(b) Management Server
Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản
lý chúng. Một số Management Server có thể thực hiện việc phân tích các thông tin
- 21 -
sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này
dù các Sensor / Agent đơn lẻ không thể nhận diện.
(c) Database Server
Dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server.
(d) Console
Là 1 chương trình cung cấp giao diện cho IDS/IPS users /Admins. Có thể cài
đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để
giám sát, phân tích.
2.6.2. Cấu trúc IDS

Sensor là yếu tố cốt lõi trong một hệ thống IDS, có trách nhiệm phát hiện các
xâm nhập nhờ những cơ cấu ra quyết định đối với sự xâm nhập. Sensor nhận dữ liệu
thô từ ba nguồn thông tin chính : Cơ sở dữ liệu của IDS, syslog và audit trail .Các
thông tin này hỗ trợ cho quá trình ra quyết định sau này.
Hình 2.3. Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông
tin di chuyển giữa các thành phần của hệ thống.
Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu -
một event generator. Dựa vào các chính sách tạo sự kiện, sensor xác định chế độ lọc
- 22 -
thông tin thông báo sự kiện. Các event generator (hệ điều hành, mạng, ứng dụng)
tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự
kiện của hệ thống, hoặc các gói tin.
Hình 2.4. Các thành phần chính của 1 hệ IDS.
Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phân
tán. Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS cùng với các
thành phần an ninh khác như firewall. Triển khai phân tán (distributed IDS bao
gồm nhiều hệ IDS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao
khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp)[3][4].
2.7. Phân loại
2.7.1. HIDS
Được triển khai trên từng host,thôngthường là 1 software hoặc 1 agent, mục
tiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này
nhằm nhận diện các hoạt động khả nghi. Host-based IDSthường được triển khai trên
các host có tính chất quan trọng (public servers, sensitive data servers), hoặc 1 dịch
vụ quan trọng (trường hợp đặc biệt này được gọi là application-based IDS)[3].
Quá trình triển khai các agent HIDS thường đơn giản do chúng là một phần
mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển
khai thẳng hàng ngay phía trước host mà chúng bảo vệ [3].
- 23 -
Hình 2.5. Mô hình triển khai Host-based IDS agent[3]

Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-based
IDS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances
[2].
Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lên
host được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua
đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn.
Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định
nên trong trường hợp này người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết
bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host.
Hệ thống HIDS cung cấp khả năng bảo mật sau:
- 24 -
(1) Khả năng ghi log.
(2) Khả năng phát hiện.
(a) Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát
hàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện).
(b) Phân tích và lọc lưu lượng mạng.
(c) Giám sát file system (kiểm tra tính toàn vẹn, thuộc tính, truy cập của file)
(d) Phân tích log.
(e) Giámsát cấu hình mạng.
(3) Khả năng ngăn chặn.
(a) Phân tích mã: ngăn chặn thực thi mã độc.
(b) Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặn
các dịch vụ hoặc giao thức không được phép.
(c) Giám sát file system: ngăn chặn việc truy cập,thay đổi file system.
(4) Các khả năng bảo vệ khác: ngăn chặn truy cập đến các removeable-
media, củng cố bảo mật cho host, giám sát trạng thái các tiến trình [1]…
Các sản phẩm đại diện : Tripware, OSSEC, BroIDS, ISS, Samhain, Prelude-
LML, Snort.
2.7.2. NIDS
Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1

segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động
khả nghi. Thường được triển khai ở các biên mạng (Network Border).
- 25 -