Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
I. Khái niệm về IDS.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành
vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an
toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty,
các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công
ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các
hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa (firewall)
nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa
trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất
lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu
của hệ thống. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây được
đông đảo những người liên quan đến bảo mật khá quan tâm, có những tính năng
tốt hơn.
I.1 Khái niệm về IDS.
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ
thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong từ
bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các
hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
I.2 Lịch sử ra đời của IDS:
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James
Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành
vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm
dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống
1
Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước
khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm
1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được
xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời
gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công
nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại
lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan
trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn còn phát triển.
I.3 Phân biệt những hệ thống không phải là IDS
Các thiết bị bảo mật dưới đây không phải là IDS:
- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối
với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở
đó sẽ có hệ thống kiêm tra lưu lượng mạng.
- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều
hành, dịch vụ mạng (các bộ quét bảo mật).
- Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã
nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng
mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường
cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
- Tường lửa (firewall)
- Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,
Kerberos, Radius…
2
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
II.Chức năng của IDS
Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo.

- Giám sát: lưu lượng mạng và các hoạt động khả nghi.
- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Chức năng chính của IDS được cụ thể bởi các hành động như:
- Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống
đã được cài đặt từ trước.
- Phân tích thống kê những luồng traffic không bình thường.
- Đánh giá và kiểm tra tính toàn vẹn của các file được xác định.
- Thống kê và phân tích các user và hệ thống đang hoạt động.
- Phân tích luồng traffic.
- Phân tích event log (ghi chú sự kiện).
3
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
III. Kiến trúc của IDS
Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ cảm
biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần cảnh
báo (Alert Notification).
III.1 Trung tâm điều khiển (The Command Console)
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí. Nó
duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều
khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm điều
khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua
một đường mã hóa, và nó là một máy chuyên dụng.
III.2 Bộ cảm biến (Netword Sensor)
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy
chuyên dụng trên các đường mạng thiết yếu. Bộ cảm biến có một vai trò
quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến
trên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các
port trên hub, và có thể phát hiện ra các luồng traffic bất thường. Nhưng

khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin đến
chính xác địa chỉ cần gửi trên từng port. Để giải quyết vấn đề này, một
kỹ thuật thông dụng là sử dụng những con switch có port mở rộng
(expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta
kết nối IDS vào port này. Port này được gọi là Switched Port Analyzer
(SPAN) port. SPAN port cần được cấu hình bởi các chuyên gia bảo mật
để nhân bản mọi luồng dữ liệu của switch.
III.3 Bộ phân tích gói tin (The Network Tap)
4
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và
gửi cảnh báo khi phát hiện ra hành động xâm nhập.
III.4 Thành phần cảnh báo (Alert Notification)
Thành phần cảnh báo có chức năng gửi những cảnh báo tới người
quản trị. Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới
nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP.
III.5 Vị trí đặt IDS
Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế
vị trị cũng như kiến trúc của IDS khác nhau.
Hình: Vị trí đặt IDS
5
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
IV. Quy trình hoạt động của IDS
1. Một host tạo gói tin.
2. Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin. (Bộ cảm
biến được đặt ở vị trí sao cho có thể đọc được gói tin này).
3. Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so sánh

gói tin với các tín hiệu được cài đặt trước. Khi có dấu hiệu xâm nhập, một
cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The Command
Console).
4. Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người hay
nhóm người được chỉ định từ trước để giải quyết.
5. Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
6. Cảnh báo được lưu lại.
7. Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.
6
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Hình: Quy trình hoạt động của IDS
7
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
V. Các hành vi bất thường
V.1 Các hành động tấn công
Các loại tấn công được phân thành hai loại như sau:
- Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm
nhập vào hệ thống mà không cần đến sự đồng ý của tài nguyên
CNTT)
- Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của
tài nguyên CNTT)
Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn
công được chia thành:
- Bên trong, những tấn công này đến từ chính các nhân viên của
công ty, đối tác làm ăn hoặc khách hàng
- Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua
Internet.
Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là

nguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc
từ các nguồn quay số từ xa). Bây giờ chúng ta hãy xem xét đến các loại tấn
công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào một chuyên
mục đặc biệt. Các loại tấn công dưới đây có thể được phân biệt:
- Những tấn công này liên quan đến sự truy cập trái phép đến tài
nguyên.
- Việc bẻ khóa và sự vi phạm truy cập
- Trojan horses
8
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
- Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh
chặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
- Sự giả mạo
- Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP
- Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các
gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các
tham số ngăn xếp IP,…
- Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát
hiện nhưng đôi khi vẫn có thể)
- Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về quyền
sở hữu.
- Lạm dụng tính xác thực; một loại hình tấn công bên trong, ví dụ:
nghi ngờ sự truy cập của một người dùng xác thực có thuộc tính
kỳ lạ (đến từ một địa chỉ không mong muốn)
- Các kết nối mạng trái phép
- Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như
truy cập vào các trang có hoạt động không lành mạnh
- Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc
các quyền truy cập mức cao.

- Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền
truy cập)
o Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền
quản trị viên hệ thống.
9
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
o Thay đổi và xóa thông tin
o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở
dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máy
tính của chính phủ.
o Thay đổi cấu hình trái phép đối với hệ thống và các dịch
vụ mạng (máy chủ)
- Từ chối dịch vụ (DoS)
o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc
gửi đi một số lượng lớn các thông tin không giá trị để làm
tắc nghẽn lưu lượng hạn chế dịch vụ.
o Ping (Smurf) – một số lượng lớn các gói ICMP được gửi
đến một địa chỉ quảng bá.
o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các
message trong một thời điểm ngắn.
o SYN – khởi tạo một số lượng lớn các yêu cầu TCP và
không tiến hành bắt tay hoàn toàn như được yêu cầu đối
với một giao thức.
o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau
- Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó
o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng
lớn ICMP (vượt quá 64KB))
o Tắt hệ thống từ xa
10

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
- Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có
thể gây ra như đã nói ở phần trên.
Cần phải nhớ rằng, hầu hết các tấn công không phải là một hành động
đơn, mà nó thường gồm có một số các sự kiện riêng lẻ.
5.2 Dấu vết của các hành động tấn công
Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi
không bình thương nào của hệ thống. Điều này có thể là cách hữu dụng
trong việc phát hiện các tấn công thực. Chúng ta hãy xem xét thêm về vấn
các triệu chứng để có thể lần theo dấu vết của những kẻ xâm phạm.
5.2.1 Sử dụng các lỗ hổng đã được biết đến
Trong hầu hết các trường hợp, việc cố gắng lợi dụng các lỗi trong
hệ thống bảo mật của một tổ chức nào đó có thể bị coi như hành vi tấn
công, đây cũng là triệu chứng chung nhất cho một sự xâm phạm. Mặc
dù vậy bản thân các tổ chức có thể phải có các biện pháp chống lại kẻ
tấn công bằng cách sử dụng các công cụ hỗ trợ trong việc bảo vệ mạng
–công cụ đó được gọi là bộ quét tình trạng file và bảo mật. Chúng hoạt
động nội bộ hoặc từ xa, tuy nhiên chúng cũng thường bị những kẻ xâm
nhập nghiên cứu rất kỹ.
Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cả
người dùng và kẻ tấn công. Việc kiểm tra tính đúng đắn về cách sử
dụng file bằng các bộ quét toàn vẹn và việc hiểu biết đến các bộ quét lỗ
hổng là cần thiết để phát hiện những cuộc tấn công đang trong quá trình
thực thi hoặc lần theo những hỏng hóc từ các tấn công thành công. Từ
những vấn đề đó nảy sinh ra các vấn đề công nghệ dưới đây:
• Sự phát hiện của bộ quét. Công cụ kiểm tra tính toàn vẹn file
hoạt động theo một cách có hệ thống để có thể sử dụng các kỹ thuật mô
11
Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ: phần
mềm anti-SATAN.
• Một sự tương quan giữa việc quét và sử dụng là rất cần thiết
– việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năng
dịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công có
thể xuất hiện trong tương lai.
5.2.2 Hoạt động mạng khác thường có tính chất định kỳ
Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai
thác các ứng dụng và tiến hành nhiều phương pháp thử. Các hoạt động
xâm phạm thường khác với hoạt động của người dùng đang làm việc
với hệ thống. Bất kỳ một công cụ kiểm tra thâm nhập đều có thể phân
biệt các hoạt động khả nghi sau một ngưỡng. Nếu vượt quá một
ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và
công bố cho bạn biết. Đây là kỹ thuật thụ động cho phép phát hiện kẻ
xâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cần qua
việc kiểm tra định lượng.
Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập
được điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều
đặn và được xem xét theo các khía cạnh dưới đây:
• Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt
động hợp lệ và nghi ngờ (để kích hoạt các báo cảnh). Các hoạt động
mạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số được
lấy từ (ví dụ) profile người dùng hoặc trạng thái Session.
• Thời gian giữa những lần lặp là một tham số để xác định thời
gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạt động
bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăng nhập
không thành công.
12
Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
• Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công.
Một kẻ tấn công có thể có các hành động trung tính (hầu như xảy ra
trong giai đoạn thăm dò) và điều đó có thể làm sai lệnh các thiết bị
phòng chống IDS.
5.2.3 Các lệnh không được đánh hoặc trả lời trong các session tự
động
Các dịch vụ và giao thức mạng được minh chứng theo những cách
nghiêm ngặt và sử dụng các công cụ phần mềm nhận dạng. Bất kỳ một
sự không tương thích nào với các mẫu đã được đưa ra (gồm có các lỗi
con người như việc xuất hiện lỗi in trong gói mạng) có thể là thông tin
có giá trị để phát hiện ra dịch vụ đang bị nhắm đến bởi kẻ xâm nhập.
Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữ
chậm mail, thì chuỗi bản ghi của nó sẽ thể hiện thói quen thông thường
hoặc có thể đoán trước . Mặc dù vậy, nếu bản ghi chỉ thị rằng một quá
trình đặc biệt nào đó đã cung cấp các lệnh không hợp lệ thì đây vẫn có
thể là một triệu chứng của một sự kiện bình thường hoặc một sự giả
mạo.
Kiểm tra những tác động tấn công:
• Phát hiện tấn công để khôi phục lại được các lệnh hoặc câu
trả lời dưới đây bằng việc khởi chạy chúng.
• Phát hiện một số tấn công thất bại có thể thấy được giao thức
cú pháp của những lần tấn công thành công trước đó.
• Việc phát hiện các tấn công đang nghiên cứu để thích nghi
nhằm bắt các lỗi liên quan đến cùng một đối tượng (dịch vụ, host). Sau
một chu kỳ nào đó, các lỗi này sẽ ngừng.
5.2.4 Mâu thuẫn trực tiếp trong lưu lượng
13
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là
một trong những triệu chứng tấn công tiềm ẩn. Xem xét dữ liệu nguồn
và địa điểm (trong nước hoặc nước ngoài) có thể nhận dạng trực tiếp về
một gói tin.
Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên.
Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một session
đang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ một
mạng nội bộ là một session gửi đi.
Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấu
hiệu của một vụ tấn công:
• Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng
nội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trong trường
hợp đó các gói có địa chỉ nguồn bên trong của chúng. Tình huống này
có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài. Các vấn đề
như vậy có thể được giải quyết tại các bộ định tuyến, chúng có thể so
sánh địa chủ nguồn với vị trí đích. Trong thực tế, số ít bộ định tuyến hỗ
trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành cho tường lửa.
• Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến
mạng ở ngoài với một địa chỉ đích của nó – trường hợp ngược lại. Kẻ
xâm nhập thực hiện từ bên ngoài và nhắm vào một hệ thống ở ngoài
• Các gói có các cổng nguồn và đích không mong muốn – nếu
cổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợp
với loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập
(hoặc quét hệ thống). Ví dụ: yêu cầu Telnet Service trên cổng 100 trong
môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể được
hỗ trợ (nếu có). Sự mâu thuẫn trực tiếp hầu như đều có thể được phát
hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ. Mặc dù vậy,
14
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thống phát
hiện xâm phạm.
5.2.5 Các thuộc tính không mong muốn
Các trường hợp thường xảy ra nhất là ở những nơi phải xử lý một
số lượng lớn các thuộc tính của gói hoặc các yêu cầu cụ thể đối với
dịch vụ. Chúng ta hoàn toàn có thể định nghĩa mẫu thuộc tính mong
đợi. Nếu các thuộc tính gặp phải không phù hợp với mẫu này thì nó có
thể là một hành động xâm phạm.
• Các thuộc tính thời gian và lịch biểu – trong môi trường nào
đó, hành vi mạng cụ thể có thể xảy ra một cách thường xuyên tại một
thời điểm nào đó trong ngày. Nếu hành vi thông thường này bị phá vỡ
thì trường hợp này cần phải được kiểm tra. Ví dụ, chúng tôi sử dụng
một công ty, nơi mà việc vận chuyển được tiến hành vào chiều thứ sáu
hàng tuânà. Bằng cách đó, dữ liệu số trao đổi trong các phiên giao dịch
đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xem như
các hành động bình thường. Tuy nhiên nếu thứ sáu là ngày nghỉ mà vẫn
xuất hiện việc truyền tải dữ liệu thì vấn đề này cần phải kiểm tra.
• Thuộc tính tài nguyên hệ thống. Các xâm phạm nào đó
thường liên làm ảnh hưởng xấu cho một số các thuộc tính hệ thống.
Việc bẻ khóa bằng cách thử lặp đi lặp lại password nhiều lần thường
liên quan đến sự sử dụng phần lớn hiệu suất CPU giống như các tấn
công DoS với các dịch vụ hệ thống. Sử dụng nhiều tài nguyên hệ thống
(bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ và kết
nối mạng) đặc biệt là những thời điểm không bìng thường rất có thể là
một dấu hiệu.
• Với các gói có các thiết lập TCP phúc đáp không mong đợi.
Nếu có một tập ACK-flag thông qua một gói và không có SYN-packet
(gói đồng bộ) trước được gửi thì cũng có thể là một trường hợp tấn
15
Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
công (hoặc quét dịch vụ). Tình huống như vậy có thể cũng là trường
hợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhất
thiết là một tấn công.
• Dịch vụ trộn lẫn các thuộc tính. Thông thường chúng ta có
thể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp cho
một người dùng cụ thể. Ví dụ: nếu người dùng đang trong chuyến đi
công tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tải
file. Bất kỳ những cố gắng nào liên quan đến tài khoản của anh ta thông
qua Telnet để truy cập vào các cổng đều có thể là những tấn công.
Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ,
cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phân biệt
các thuộc tính điển hình và các thuộc tính không mong muốn. Một file
dấu hiệu giữ một số các dịch vụ chung của một người dùng cụ thể cũng
có thể lưu thông tin bổ sung đa thuộc tính. Các thông tin này bao gồm
giờ làm việc liên quan đến hệ thống của người dùng, vị trí của máy
trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng tài nguyên,
khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ.
5.2.6 Các vấn đề không được giải thích
Một kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguy
hiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục trong
hành vi của một hệ thống. Việc kiểm tra các ảnh hưởng như vậy thường
khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện. Dưới đây là
một số ví dụng của nó:
• Các vấn đề không mong muốn với phần cứng hoặc phần
mềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạt
động, những lần khởi động lại hệ thống không mong muốn, thay đổi
các thiết lập đồng hồ hệ thống.
16
Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
• Các vấn đề tài nguyên hệ thống: tràn file hệ thống; sự sử
dụng hiệu suất CPU không cách không bình thường.
• Các thông báo kỳ cục từ các tiện ích hệ thống, các tiện ích hệ
thống không hoạt động hoặc bị phá hủy. Những triệu chứng như vậy
luôn phải nghi ngờ.
• Các vấn đề hiệu suất hệ thống (các bộ định tuyến hoặc các
dịch vụ hệ thống có thời gian đáp ứng máy chủ quá lâu)
• Hành vi người dùng không mong muốn, ví dụ: truy cập
không mong muốn vào tài nguyên hệ thống.
• Hành vi kiểm định không mong muốn. Các bản ghi kiểm định
thu nhỏ kích thước (trừ khi được cố ý bởi quản trị viên hệ thống).
VI. Phân loại IDS
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép
và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố
cơ bản nền tảng sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công.
Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở
trên.
6.1 Network - based IDS (NIDS)
6.1.1 Mô hình thiết kế Network – based IDS
17
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Hình: Mô hình Netword – based IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên
toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng

trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ
bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận
được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm
quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm
nhập xa hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những
gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn
công hay không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
18