Tải bản đầy đủ (.docx) (31 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu hệ thống phát hiện xâm nhập IDS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (505.44 KB, 31 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

BÀI TÂP
NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHÂP IDS

MÔN HỌC: AN NINH MẠNG
GIẢNG VIÊN: PGS. TSKH. HOÀNG ĐĂNG HẢI

Học viên: Phạm Văn Dùng
Lớp: Mạng và Truyền Dữ Liệu – M12CQCT01-B

1
Hà Nội - Năm 20113


2


Nghiên cứ hệ thống phát hiện xâm nhập IDS

3
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Phần I: Tổng quan về an ninh mạng
1.1. Khái niệm về bảo mật:
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các
khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các
cuộc tấn cơng, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng


cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh
quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ
thống:
- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực
thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm.
- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài
nguyên của hệ thống.
- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm
khơng được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên
mạng chỉ có thể được đọc bởi những nhóm được phép.
- Tính tồn vẹn (Integrity): hệ thống đảm bảo tính tồn vẹn của dữ liệu nếu nó ngăn sự
thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thơng
điệp đã được truyền.
- Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được
phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài
nguyên hệ thống, bao gồm tạm thời và lâu dài.

1.2. Sự cần thiết của bảo mật:

4
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất cả các
hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùng với việc phát
triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn công trên Internet.
Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấn cơng, nhưng
nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt mà không cần lo lắng quá

về việc tăng nguy cơ bị tấn công.

1.3. Những mối đe dọa cho hệ thống mạng
1.3.1 Mối đe dọa khơng có cấu trúc (Untructured threat)
Hầu hết tấn cơng khơng có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ
tấn công chỉ sử dụng các công cụ được cung cấp, khơng có hoặc có ít khả năng lập trình)
hay những người có trình độ vừa phải. Hầu hết các cuộc tấn cơng đó vì sở thích cá nhân,
nhưng cũng có nhiều cuộc tấn cơng có ý đồ xấu.

1.3.2. Mối đe dọa có cấu trúc (Structured threat)
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Khơng như
Script Kiddes, những kẻ tấn cơng này có đủ kỹ năng để hiểu các cơng cụ, có thể chỉnh
sửa các công cụ hiện tại cũng như tạo ra các cơng cụ mới. Động cơ thường thấy có thể vì
tiền, hoạt động chính trị, tức giận hay báo thù. Các cuộc tấn cơng này thường có mục
đích từ trước. Các cuộc tấn công như vậy thường gây hậu quả nghiêm trọng cho hệ thống.
Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho tồn hệ thống.

1.3.3. Mối đe dọa từ bên ngoài (External threat)
External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong
hệ thống. Người dùng trên tồn thế giới thơng qua Internet đều có thể thực hiện các cuộc
tấn công như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat.
Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn cơng

5
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS


này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải
bỏ nhiều tiền và thời gian để ngăn ngừa.

1.3.4. Mối đe dọa từ bên trong (Internal threat )
Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này khó phịng chống hơn vì các nhân viên có thể truy cập mạng và dữ
liệu bí mật của cơng ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên
bất bình, muốn “quay mặt” lại với cơng ty. Nhiều phương pháp bảo mật liên quan đến
vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet.
Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt
nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng,
mọi chuyện cịn lại thường là rất đơn giản.
Đơi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự
giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn cơng trở thành
structured internal threat, kẻ tấn cơng có thể gây hại nghiên trọng cho hệ thống và ăn
trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy
hiểm nhất cho mọi hệ thống.

1.4. Các phương thức tấn công (Attack methods):
1.4.1. Thăm dò (Reconnaisance)
Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống, dịch vụ hay điểm yếu
một cách trái phép. Nó cũng được biết như việc thu thập thông tin, và trong nhiều trường
hợp là hành động xảy ra trước việc xâm nhập hay tấn công từ chối dịch vụ.
Việc thăm dò thường được thực hiện bằng các cơng cụ hay câu lệnh có sẵn trên hệ
điều hành. Ta có các bước cơ bản của việc thăm dò như sau:
Bước 1: Ping quét để kiểm tra bản đồ IP.

6
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B



Nghiên cứ hệ thống phát hiện xâm nhập IDS

Bước 2: Sử dụng port scanner để kiểm tra dịch vụ và cổng mở trên IP đó, có nhiều
cơng cụ như vậy, như Nmap, SATAN,…
Bước 3: Truy vấn các cổng để xác định loại, phiên bản của ứng dụng, hệ điều
hành.
Bước 4: Xác định điểm yếu tồn tại trên hệ thống dựa trên các bước trên.

Hình 1.1: Thăm dị hệ thống

Một kẻ tấn công ban đầu thường rà quét bằng lệnh ping tới mục tiêu để xác định
địa chỉ IP nào còn tồn tại, sau đó quét các cổng để xác định xem dịch vụ mạng hoặc mạng
nào cổng nào đang mở. Từ những thơng tin đó, kẻ tấn cơng truy vấn tới các port để xác
định loại, version của ứng dụng và cả của hệ điều hành đang chạy. Từ những thơng tin
tìm được, kẻ tấn cơng có thể xác định những lỗ hổng có trên hệ thống để phá hoại.

1.4.2. Truy nhập (Access)
Access là chỉ việc thao túng dữ liệu, truy nhập hệ thống hay leo thang đặc quyền
trái phép. Truy nhập vào hệ thống là khả năng của kẻ xâm nhập để truy nhập vào thiết bị
mà khơng có tài khoản hay mật khẩu. Việc xâm nhập đó thường được thực hiện bằng

7
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

cách sử dụng các công cụ, đoạn mã hack nhằm tấn công vào điểm yếu của hệ thống hay
ứng dụng. Trong một số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà không

thực sự cần lấy trộm thông tin, đặc biệt khi động cơ của việc xâm nhập là do thách thức
hay tò mò.

1.4.3. Từ chối dịch vụ (Denial of Service)
Denial of service (DoS) là trạng thái khi kẻ tấn cơng vơ hiệu hóa hay làm hỏng
mạng, hệ thống máy tính, hay dịch vụ với mục tiêu từ chối cung cấp dịch vụ cho user dự
định. Nó thường liên quan đến việc phá hoại hay làm chậm hệ thống để người dùng
không thể sử dụng được. Trong hầu hết các trường hợp, việc tấn công chỉ cần thực hiện
bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn công khơng cần quyền truy nhập vào
hệ thống. Chỉ với lí do phá hoại, tấn công từ chối dịch vụ gây ra là rất lớn và đây là kiểu
tấn công nguy hiểm nhất đặc biệt là cho các trang web thương mại.

Hình 1.2: Mơ hình DDoS attack

Phần II: Hệ thống phát hiện xâm nhập IDS
2.1. Cơ bản về IDS

8
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

2.1.1. Định nghĩa
IDS (Intrusion Detection System) là hệ thống giám sát lưu thơng mạng (có thể là
một phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay
những hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn cơng
(FootPrinting, Scanning, Sniffer…), cung cấp thông tin nhận biết và đưa ra cảnh báo cho
hệ thống, nhà quản trị.
IDS được coi là công cụ bảo mật vơ cùng quan trọng, nó được lựa chọn là giải

pháp bảo mật được bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các đoạn mã
độc hại hoạt động trong hệ thống mạng, có khả năng vượt qua được Firewall sau đó nó có
thể kết hợp với Firewall hoặc một số công cụ khác để đưa ra cách đối phó với những
đoạn mã độc đó.

Hình 2.1: IDS-giải pháp bảo mật bổ sung cho Firewall

9
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

2.1.2. Chức năng:
Các ứng dụng cơ bản của hệ IDS:
- Nhận diện các nguy cơ có thể xảy ra
- Ghi nhận thơng tin, log để phục vụ cho việc kiểm soát nguy cơ
- Nhận diện các hoạt động thăm dò hệ thống
- Nhận diện các yếu khuyết của chính sách bảo mật
- Ngăn chặn vi phạm chính sách bảo mật
Các tính năng chính của hệ IDS:
- Lưu giữ thơng tin liên quan đến các đối tượng quan sát
- Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát
- Xuất báo cáo.

2.2. Cấu trúc và kiến trúc của hệ thống IDS
Các thành phần cơ bản:
- Sensor/ Agent: giám sát và phân tích các hoạt động. “Sensor” thường được dùng
cho dạng NIDS trong khi “Agent” thường được dùng cho dạng HIDS.
- Management Server: là 1 thiết bị trung tâm dùng thu nhận các thông tin từ

Sensor/ Agent và quản lý chúng.
- Database: dùng lưu trữ thông tin từ Sensor/ Agent hay Management Server
- Console : là chương trình cung cấp giao diện cho IDS users/ Admins. Có thể cài
đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để
giám sát, phân tích.
Kiến trúc của hệ thống IDS:

10
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Sensor là yếu tố cốt lõi trong một hệ thống phát hiện xâm nhập, nó có trách nhiệm
phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối với sự xâm nhập.
Sensor nhận dữ liệu thô từ ba nguồn thơng tin chính: kiến thức cơ bản (knowledge base)
của IDS, syslog và audit trail. Các thông tin này tạo cơ sở cho q trình ra quyết định sau
này.
Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu - một
event generator. Dựa vào các chính sách tạo sự kiện nó xác định chế độ lọc thơng tin
thông báo sự kiện. Các event generator (hệ điều hành, mạng, ứng dụng) tạo ra một chính
sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự kiện của hệ thống, hoặc
các gói tin. Điều này, thiết lập cùng với các thơng tin chính sách có thể được lưu trữ hoặc
là trong hệ thống bảo vệ hoặc bên ngoài.
Trong những trường hợp nhất định, dữ liệu không được lưu trữ mà được chuyển
trực tiếp đến các phân tích (thơng thường áp dụng với các gói packet).

Hình 2.2: Một ví dụ về hệ IDS

11

Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Hình 2.3: Các thành phần chính của một hệ IDS
Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phân tán.
Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS cùng với các thành phần
an ninh khác như firewall. Triển khai phân tán (distributed IDS) bao gồm nhiều hệ IDS
trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao khả năng nhận diện
chính xác xâm nhập và đưa ra phản ứng thích hợp.

2.3. Cơ chế hoạt động
Hệ thống phát hiện xâm nhập hoạt động dựa trên cơ chế monitor traffic lưu thơng
trên hệ thống, việc monitor có thể thực hiện bằng nhiều phương pháp



Mirror LAN traffic vào cổng monitoring của IDS
Sử dụng inline IDS (IOS IDS, PIX IDS như đối với Cisco; IDP như đối với
Netscreen; một số cịn gọi là IPS)

IDS có khả năng "dị" các kiểu tấn cơng vào mạng. Chúng ta có thể hình dung hoạt
động của IDS như một camera đặt trong mạng nhằm theo dõi tất cả các gói tin trong
mạng. Tuy nhiên , nó hơn camera thơng thường ở chỗ nó có thể phản ứng lại các kiểu tấn
cơng bằng cách tạo ra các alarm message, gửi đến network administrator thông qua một
"console" gọi là CSPM ( nếu của Cisco ) hoặc báo cho các thiết bị mạng như PIX

12
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B



Nghiên cứ hệ thống phát hiện xâm nhập IDS

firewall, router để các thiết bị này chặn các session đó lại. IDS có khả năng dị ra những
kiểu tấn cơng như reconnaissance attack , access attack và denial of service attack...

2.3.1. Các phương pháp nhận diện:
Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ
hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia làm ba
phương pháp nhận diện chính là: Signature-base Detection, Anormaly-base Detection và
Stateful Protocol Analysis.

2.3.1.1. Nhận diện dựa vào dấu hiệu (Signature-base Detection):
Signature-base Detection sử dụng phương pháp so sánh các dấu hiệu của đối
tượng quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu
quả với các mối nguy hại đã biết nhưng hầu như khơng có hiệu quả hoặc hiệu quả rất ít
đối với các mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh (evasion
techniques), hoặc các biến thể. Signature-based Detection không thể theo vết và nhận
diện trạng thái của các truyền thông phức tạp.

2.3.1.2. Nhận diện sự bất thường (Abnormaly-base Detection):
Abnormaly-base Detection so sánh định nghĩa của những hoạt động bình thường
và đối tượng quan sát nhằm xác định các độ lệch. Một hệ IDS sử dụng phương pháp
Anormaly-base detection có các profiles đặc trưng cho các hành vi được coi là bình
thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong
một khoảng thời gian. Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụng
phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các
ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường. Profile sử dụng bởi
phương pháp này có 2 loại là static và dynamic:

- Static profile: khơng thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó
sẽ trở nên khơng chính xác, và cần phải được tái tạo định kỳ.

13
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

- Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung được
quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép
thử dùng kỹ thuật giấu (evasion techniques). Ưu điểm chính của phương pháp này là nó
rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa được biết đến.

Abnormaly-base và Signature-base

2.3.1.3. Phân tích trạng thái giao thức (Stateful Protocol Analysis):
Phân tích trạng thái protocol là quá trình so sánh các profile định trước của hoạt
động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ
lệch. Khác với phương pháp Anomaly-base Detection, phân tích trạng thái protocol dựa
trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó quy định 1 protocol nên
làm và khơng nên làm gì. "Stateful" trong phân tích trạng thái protocol có nghĩa là IDS có
khả năng hiểu và theo dõi tình trạng của mạng, vận chuyển, và các giao thức ứng dụng có
trạng thái. Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp
trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là
phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công khi
chúng khơng vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức.

2.3.2. Cơ chế bảo mật:
Các cơ chế bảo mật khác nhau được sử dụng nhằm tăng cường các thuộc tính của

chính sách bảo mật. Tùy vào kiểu tấn công mà ta sử dụng các cơ chế khác nhau nhằm
thỏa mãn yêu cầu đặt ra. Có 3 cơ chế chính để chống lại tấn cơng đó là phát hiện, ngăn
chặn và phịng tránh tấn cơng.

2.3.2.1. Phát hiện tấn công:

14
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Cơ chế phát hiện tấn công giả sử rằng kẻ tấn công có thể nhận được quyền truy
nhập tới đối tượng và thành công trong việc xâm phạm vào cơ chế bảo mật xác định. Cơ
chế này dựa trên giả thiết rằng hầu hết thời gian, thông tin được truyền mà không bị gián
đoạn, khi một hành động không mong muốn xảy ra, cơ chế phát hiện tấn cơng cảnh báo
rằng có điều bất ổn xảy ra và thực hiện hành động tương ứng. Thêm nữa, nó thường được
thiết kế để nhận dạng kiểu tấn cơng. Thường nó khơng chỉ được thiết kế để thơng báo
phát hiện hành động có ý đồ xấu, mà một số hệ thống còn yêu cầu các tác động của việc
tấn công được khôi phục lại hay cuộc tấn công bị ngăn chặn. Điểm mạnh của cơ chế này
là nó có thể hoạt động ở trạng thái xấu nhất là kẻ tấn cơng có thể xâm nhập vào hệ thống
và có thể sử dụng hay thay đổi tài nguyên. Điểm yếu của nó là việc phát hiện tấn cơng
khơng đảm bảo tính cẩn mật của dữ liệu. Khi chính sách bảo mật xác định được sự vi
phạm nghiêm trọng tới dữ liệu thì cơ chế phát hiện tấn cơng khơng phải là cơ chế thích
hợp lúc đó.

Hình 2.6: Quản lý và phát hiện tấn công trong mạng

2.3.2.2. Ngăn chặn tấn công:
Ngăn chặn tấn công là cơ chế bảo mật bao gồm phương pháp ngăn chặn hay

phòng thủ trước một kiểu tấn cơng xác định khi nó xảy ra trên đối tượng cần bảo vệ. Một
yếu tố quan trọng của cơ chế này là điều khiển truy nhập, cơ chế được thực hiện trên
nhiều cấp độ khác nhau như hệ điều hành, mạng hay lớp ứng dụng. Điều khiển truy nhập
giới hạn và điều chỉnh quyền truy nhập tới những tài nguyên quan trọng. Nếu kẻ tấn công

15
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

khơng có quyền sử dụng đối tượng thì sẽ bị từ chối truy nhập tới tài nguyên đó. Do truy
nhập là điều kiện tiên quyết cho tấn cơng, việc can thiệp đó cũng ngăn chặn được tấn
cơng.

Hình 2.7: Tăng cường chính sách bảo mật hệ thống với điều khiển truy nhập

Dạng điều khiển truy nhập thông dụng nhất được sử dụng trong hệ thống máy tính
đa người sử dụng là sử dụng Access List Control cho tài nguyên dựa trên các người sử
dụng và nhóm người sử dụng. Việc nhận dạng người dùng được thực hiện bằng tiến trình
xác thực mà thường yêu cầu tài khoản và mật mã. Tiến trình đăng nhập thực hiện việc so
sánh mật mã (hay hash của mật mã) tương ứng với tài khoản. Nếu chúng khớp nhau, hệ
thống sẽ cho phép đăng nhập với quyền tương ứng với người dùng và nhóm người dùng
đó trong hệ thống. Khi có yêu cầu tài nguyên, hệ thống sẽ tìm kiếm người dùng và nhóm
người dùng trong ACL và cho phép hay từ chối truy nhập.
Firewall là một hệ thống điều khiển truy nhập ở lớp mạng. Như đã nói ở trên,
Firewall ngăn chặn tấn cơng từ bên ngồi bằng cách từ chối cố gắng kết nối từ những
nhóm bên ngồi khơng được xác thực. Thêm nữa, nó cịn có thể được sử dụng để ngăn
chặn người dùng bên trong Firewall sử dụng một số dịch vụ không an tồn ở bên ngồi.


2.3.2.3. Phịng tránh tấn cơng:
Đây là cơ chế bảo mật cho phép kẻ tấn công xâm nhập vào một số vùng tài nguyên xác
định mà thông tin ở đó đã được sửa đổi để nó khơng thể sử dụng được đối với kẻ tấn
công. Thông tin được xử lý từ phía người gửi trước khi truyền trên các kênh truyền thông

16
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

và được người nhận xử lý sau đó. Trong khi thơng tin được truyền trên kênh truyền
thông, kẻ tấn công không thể sử dụng được nó. Tất nhiên là kẻ tấn cơng vẫn có thể làm
gián đoạn việc truyền thơng và ảnh hưởng đến tính sẵn sàng của thơng tin.

Hình 2.8: Bảo mật truyền thông với cơ chế Tunneling

Giải pháp thông dụng nhất cho cơ chế này là mã hóa thơng tin. Thơng tin được mã
hóa trước khi truyền và được người nhận giải mã trở lại trạng thái ban đầu để sử dụng;
trong q trình truyền thơng, kẻ tấn cơng khơng thể sử dụng được thơng tin đã mã hóa.
Hiện nay có hai mơ hình mã hóa cơ bản là mã hóa khóa mật hay khóa đối xứng (Secret
key Cryptography) và mã hóa khóa cơng khai (Public key Cryptography). Mã hóa khóa
cơng khai sử dụng khóa có độ dài lớn, thuật tốn phức tạp, có độ an tồn cao hơn nhưng
thời gian mã hóa và giải mã chậm, thường sử dụng trong việc truyền khóa mật giữa các
bên truyền thơng.

2.3.3. Phản ứng:
Hầu hết các công cụ phát hiện xâm nhập trái phép là thụ động, khi phát hiện được
cuộc tấn công tạo ra cảnh báo nhưng không thực hiện biện pháp đối phó. Địi hỏi người
quản trị trực tiếp kiểm tra cảnh báo và thực hiện hành động phù hợp. Điều này có thể gây

chậm trễ trong việc xử lý với các cuộc tấn công.

17
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Có một số IDS có khả năng thực hiện hành động như thay đổi trạng thái bảo mật
để phản ứng lại với những cuộc tấn cơng. Các IDS này có thể thay đổi quyền của file, đặt
thêm luật của tường lửa, ngừng tiến trình hay ngắt kết nối. Những hệ như vậy có hiệu quả
rất lớn, nhưng cũng có thể bị kẻ tấn công lợi dụng để tự gây hại cho hệ, hay gây từ chối
dịch vụ.

2.4. Chác phát hiện tấn công của hệ thống IDS:
2.4.1. Kỹ thuật xử lý dữ liệu:
2.4.1.1. Hệ thống Expert (Expert systems):
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các hình thức tấn cơng. Tất cả các sự kiện có liên quan đến bảo mật đều được kết
hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else.

2.4.1.2. Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, Rule-Based Intrusion Detection dựa trên
những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng
kiểm định thích hợp. Nên dấu hiệu tấn cơng có thể được tìm thấy trong các bản ghi
(record). Một kịch bản tấn cơng có thể được mơ tả, như một chuỗi sự kiện kiểm định đối
với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Sự
phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.
Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống
thương mại.

Ví dụ: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)

2.4.1.3. Phân biệt ý định người dùng (User intention Identification):
User intention identification mơ hình hóa các hành vi thơng thường của người
dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên
quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động
được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập

18
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ
được phát hiện thì một cảnh báo sẽ được sinh ra.

2.4.1.4. Phân tích trạng thái phiên (State-Transition Analysis):
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng
thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả
theo các hành động đã được định trước.

2.4.1.5. Phương pháp phân tích thống kê (Statistical Analysis Approach):
Đây là phương pháp thường được sử dụng. Hành vi người dùng-hệ thống (tập các
thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người
dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng
không gian đĩa, bộ nhớ, CPU... Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng
để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn
giản này cũng không thế hợp được với mơ hình hành vi người dùng điển hình. Các

phương pháp dựa vào việc làm tương quan thơng tin về người dùng riêng lẻ với các biến
nhóm đã được gộp lại cũng ít có hiệu quả. Vì vậy, một mơ hình tinh vi hơn về hành vi
người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc
dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong
hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung
trong IDS dựa trên thông tin hành vi người dùng thông thường.

2.4.2. Các kiểu tấn công thông dụng:
2.4.2.1. Tấn công từ chối dịch vụ (Denial of Service Attack):
Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến fullblown packet storm, Denial of Service (DoS) attack có mục đích chung là đóng băng hay
chặn đứng tài ngun của hệ thống đích. Cuối cùng, mục tiêu trở nên khơng thể tiếp cận

19
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống
và ứng dụng.



Network flooding bao gồm SYN flood, Ping flood hay multi echo request…
Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các kiểu tấn
công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống. Sự
kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và




thiết bị, chúng có thể được tạo ra bằng các cơng cụ tấn cơng được lập trình trước.
Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống
bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web… Ví dụ: một
email rất dài hay một số lượng lớn email, hay một số lượng lớn yêu cầu tới trang web có
thể gây quá tải cho server của các ứng dụng đó.
Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin
khơng mong muốn từ bên ngồi, tuy nhiên Network IDS có thể phát hiện được các tấn
cơng dạng gói tin.

2.4.2.2. Qt và thăm dị (Scanning and Probe):
Bộ qt và thăm dị tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu.
Tuy các công cụ này được thiết kế cho mục đích phân tích để phịng ngừa, nhưng chúng
có thể được sử dụng để gây hại cho hệ thống. Các cơng cụ qt và thăm dị bao gồm
SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon.
Việc thăm dị có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các
cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Vì vậy các
cơng cụ này có thể là cơng cụ đắc lực cho mục đích xâm nhập.
Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy
hiểm trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp
này để có thể chống các kiểu tấn cơng như vậy trước khi có thiệt hại. Host-based IDS
cũng có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp
dựa trên mạng.

20
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Hình 2.9: Chính sách bảo mật theo chiều sâu


2.4.2.3. Tấn cơng vào mật mã (Password attack):
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu dễ nhận
thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhất cho kẻ tấn
cơng có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. Đốn hay bẻ khóa
mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để
mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn cơng cần truy nhập tới mật mã đã được
mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn cơng sử dụng chương trình đốn nhiều
mã với thuật tốn mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ máy tính
hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ
điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thơng dụng và các phép hốn vị. Hiện nay,
Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng
dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm
lại mật mã, hay tìm kiếm các thơng tin cần thiết cho quá trình điều tra tội phạm…
- Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0),
gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngồi ra không thể

21
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm, dùng vũ lực
ép buộc…
- Dự đốn và bẻ khóa ví dụ như: đốn từ tên, các thơng tin cá nhân, từ các từ thơng
dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài khoản khách rồi
chiếm quyền quản trị; các phương thức tấn cơng như brute force, đốn mật mã đã mã hóa
từ các từ trong từ điển, ta có một số công cụ như LOPHT Crack, pwldump…
Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố

gắng đốn mã (có thể ghi nhận sau một số lần thử khơng thành cơng), nhưng nó khơng có
hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy
các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc
phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã.

2.4.2.4. Chiếm đặc quyền (Privilege-grabbing):
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy
nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều
này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là
“Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên
Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng
để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ
điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn cơng có thể có quyền
truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc
quyền:
- Đốn hay bẻ khóa của root hay administrator
- Gây tràn bộ đệm
- Khai thác Windows NT registry

22
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

- Truy nhập và khai thác console đặc quyền
- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.
Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay
đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ.
Do Host-based IDS có thể tìm kiếm được những người dùng khơng có đặc quyền đột

nhiên trở thành có đặc quyền mà khơng qua hệ thống thơng thường, Host-based IDS có
thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và ứng
dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS
nhằm ngăn chặn việc tấn cơng xảy ra.

Hình 2.10: Sensor IDS nhận dữ liệu về cuộc tấn công

2.4.2.5. Cài đặt mã nguy hiểm (Hostile code insertion):
Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép
tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:
- Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động
tự động, có hoặc khơng có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống,

23
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

file của ứng dụng hay dữ liệu. Virus thường được xác định nhờ vào những hành động có
hại của chúng, có thể được kích hoạt dựa trên sự kiện, ngày…
- Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số
hành động tự động, thường có hại, nhưng khơng có mục đích nhân bản. Thường thì
Trojan Horse được đặt tên hay mơ tả như một chương trình mà người ta muốn sử dụng,
nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống.
- Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương
trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống
trong tương lai (như “msgina.dll” trên Windows NT).
- Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay

ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có vẻ như
thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như
tải file lên web site của kẻ tấn công.
Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và
các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất
để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể đảm
bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết hợp
với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví dụ
như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor.
Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục
đích kiểm tra tính tồn vẹn.

2.4.2.6. Hành động phá hoại trên máy móc (Cyber vandalism):
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi
động và chương trình hệ điều hành, format ổ đĩa.

24
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Nghiên cứ hệ thống phát hiện xâm nhập IDS

Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn
thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như mọi
thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang
web nằm trên đó. Khơng chỉ được cấu hình để quản lý mọi thay đổi trên trang web, Hostbased IDS cịn có thể thực hiện các hành động đối phó, là những hành động được
Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn
cơng được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều
hành, ứng dụng cũng như xóa file và thay đổi trang web.


2.4.2.7. Ăn trộm dữ liệu quan trọng (Proprietary data theft):
Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra
ngay trong tổ chức đó, số các cuộc tấn cơng từ bên ngồi đã liên tục tăng trong một vài
năm qua. Ngồi việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải
xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan
trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Giải pháp của IDS: Mơ hình Host-based IDS thực hiện việc quản lý các dữ liệu
quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp
IDS có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi
biên bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp đó,
Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Cịn
Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan
trọng và xác định việc truyền thơng có chứa key word. Trong một số trường hợp rất khó
có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDS trên host đó có
thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền
thơng.

2.4.2.8. Gian lận, lãng phí và lạm dụng (Fraud, waste, abuse):
Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh
tế trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số

25
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×