[Type text]

Page 1


MỞ ĐẦU
Trong hoạt động của xã hội lồi người, thơng tin là một nhu cầu không thể thiếu, và
ngày nay thông tin càng trở thành một tài nguyên vô giá. Xã hội phát triển ngày càng
cao thì nhu cầu trao đổi thông tin giữa các thành phần trong xã hội ngày càng lớn.
Mạng máy tính ra đời mang lại cho con người nhiều lợi ích trong việc trao đổi thơng
tin và xử lý thơng tin một cách chính xác, nhanh chóng. Sự phát triển mạnh mẽ của
mạng máy tính đặc biệt là sự ra đời của mạng toàn cầu Internet đã giúp cho con người
trên khắp trên thế giới có thể liên lạc trao đổi thơng tin chính xác cho nhau một cách
dễ dàng trong thời gian ngắn nhất.
Đối với các doanh nghiệp nói riêng thì mạng máy tính mang lại rất nhiều tiện ích như:
thu thập được nhiều thơng tin; giảm chi phí sản xuất, bán hàng, tiếp thị và giao dịch;
tăng chất lượng dịch vụ khách hàng, tăng doanh thu, tạo ra lợi thế cạnh tranh của
doanh nghiệp…. Tuy nhiên, tâm lý e ngại về sự không an toàn của các giao dịch trên
mạng là một thực tế hiện nay của các doanh nghiệp và người tiêu dùng. Hiện tượng
này càng trở thành một vấn đề lớn khi mà vấn đề hacker trên mạng ngày càng phát
triển một cách tinh vi. Đối với Việt Nam điều này còn bắt nguồn từ sự đầu tư chưa đầy
đủ cho việc bảo mật thông tin trên mạng của các cơ quan, tổ chức và người tiêu dùng.
Bên cạnh đó việc thiếu kiến thức hiểu biết cần thiết cũng là một nguyên nhân dẫn đến
tâm lý e ngại của người sử dụng. Nhận thức được vấn đề này các doanh nghiệp tại
Việt Nam cũng đang có sự đầu tư cần thiết nhằm đảm bảo an tồn cho hệ thống thơng
tin của mình, qua đó khắc phục các sự cố nhằm tạo lịng tin cho người sử dụng.
Các giải pháp phát hiện xâm nhập đối với hệ thống mạng doanh nghiệp là một trong
những vấn đề được ngành công nghệ thông tin và những người nghiên cứu về an tồn
bảo mật thơng tin cho hệ thống mạng quan rất quan tâm. mạng. Có rất nhiều công cụ
mã nguồn mở để phát hiện xâm nhập được sử dụng ngày nay. Tuy nhiên phần mềm
OSSIM tích hợp nhiều cơng cụ mã nguồn mở khác nhau giúp cho việc quản trị và

đảm bảo an toàn an ninh mạng của các quản trị viên hiệu quả hơn.

[Type text]

Page 2


MỤC LỤC

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Từ gốc

Nghĩa Tiếng Việt

Dos

Denial of Service

IDS

Intrucsion

Tấn công từ chối dịch vụ

Detection Hệ thống phát hiện xâm nhập

System
NIDS


Network

Intrucsion Hệ thống phát hiện xâm nhập có khả năng

Detection System

phát hiện mối đe dọa đang tấn công vào
mạng

HIDS

Host

Intrucsion Hệ thống phát hiện xâm nhập được cài đặt

Detection System

trên các máy tính (Host)

UDP

User Datagram Protocol

Giao thức truyền tin không tin cậy

TCP

Tranmission


Control Giao thức truyền tin đáng tin cậy

Protocol
Signature

Dấu hiệu

Trigger

Thủ tục nội tại để bẫy lỗi khơng tồn vẹn
của dữ liệu

Sensor
LAN
[Type text]

Cảm biến
Local Area Network

Mạng máy tính cục bộ
Page 3


VLAN

Vitual

Local

Area Mạng LAN ảo


Network

HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1Các hệ thống phát hiện xâm nhập (IDS)
IDS (Intrusion Detection System - Hệ thống phát hiện xâm nhập) là hệ thống
phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạt
động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa
những tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn
công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các
nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc
biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với
baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1.1.1 Network IDS
NIDS thường bao gồm hai thành phần logic:
-

Bộ cảm biến - Sensor: đặt tại một đoạn mạng, kiểm soát các cuộc lưu thơng nghi ngờ
trên đoạn mạng đó.

-

Trạm quản lý: nhận các tín hiệu cảnh báo từ bộ cảm biến và thơng báo cho một điều
hành viên.

[Type text]

Page 4



Hình 1: Mơ hình NIDS
Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng
giao tiếp với một trạm kiểm sốt.
Ưu điểm:
-

Chi phí thấp: Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám sát lưu
lượng tồn mạng nên hệ thống không cần phải nạp các phần mềm và quản lý trên các
máy toàn mạng.

-

Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra
header của tất cả các gói tin vì thế nó khơng bỏ sót các dấu hiệu xuất phát từ đây.

-

Khó xố bỏ dấu vết (evidence): Các thơng tin lưu trong log file có thể bị kẻ đột nhập
sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó có đủ
thơng tin để hoạt động. NIDS sử dụng lưu thông hiện hành trên mạng để phát hiện
xâm nhập. Vì thế, kẻ đột nhập khơng thể xố bỏ được các dấu vết tấn cơng. Các thơng
tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việc xác
minh và buộc tội kẻ đột nhập.

-

Phát hiện và đối phó kịp thời: NIDS phát hiện các cuộc tấn công ngay khi xảy ra, vì
thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn. Ví dụ: Một hacker thực
hiện tấn cơng DoS dựa trên TCP có thể bị NIDS phát hiện và ngăn chặn ngay bằng
việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trước khi nó xâm nhập và

phá vỡ máy bị hại.

-

Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể đối với công việc của
các máy trên mạng. Chúng chạy trên một hệ thống chuyên dụng dễ dàng cài đặt; đơn
thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào
trong mạng tại một vị trí cho phép nó kiểm sốt các cuộc lưu thông nhạy cảm.
Nhược điểm:

-

Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin trên
mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộc tấn
công thực hiện vào lúc "cao điểm". Một số nhà sản xuất đã khắc phục bằng cách cứng

[Type text]

Page 5


hố hồn tồn IDS nhằm tăng cường tốc độ cho nó. Tuy nhiên, do phải đảm bảo về
mặt tốc độ nên một số gói tin được bỏ qua có thể gây lỗ hổng cho tấn công xâm nhập.
-

Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền một
dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một gói tin
được kiểm soát sẽ sinh ra một lượng lớn tải phân tích. Để khắc phục người ta thường
sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các lưu thông được
truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào các bộ cảm

biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng thái hoặc trung tâm
truyền thơng hơn là thực hiện các phân tích thực tế. Điểm bất lợi là nó sẽ cung cấp rất
ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biến nào sẽ không biết được
việc một bộ cảm biến khác dị được một cuộc tấn cơng. Một hệ thống như vậy sẽ
khơng thể dị được các cuộc tấn công hiệp đồng hoặc phức tạp.

-

Một hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn cơng trong
một phiên được mã hố. Lỗi này càng trở nên trầm trọng khi nhiều công ty và tổ chức
đang áp dụng mạng riêng ảo VPN.

-

Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn cơng mạng từ
các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIDS hoạt động
sai và đổ vỡ.
1.1.2 Host IDS
Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ; thường sử
dụng các cơ chế kiểm tra và phân tích thơng tin đăng nhập hệ thống. Nó tìm kiếm các
hoạt động bất thường như login, truy nhập file không thích hợp, cố tình sử dụng các
phân quyền khơng được quản trị chấp nhận.
Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các hoạt
động. Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được thông qua lệnh
su-select user, như vậy những cố gắng liên tục để login vào account root có thể được
coi là một cuộc tấn công.

[Type text]

Page 6



Hình 2: Mơ hình HIDS
Ưu điểm:
-

Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu nhật ký (log) lưu
các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độ
chính xác cao hơn NIDS. Vì thế, HIDS có thể bổ sung thơng tin tiếp theo khi cuộc tấn
công được sớm phát hiện với NIDS.

-

Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động
mà NIDS không thể như: truy nhập file, thay đổi quyền, các hành động thực thi, truy
nhập dịch vụ được phân quyền. Đồng thời nó cũng giám sát các hoạt động chỉ được
thực hiện bởi người quản trị. Vì thế, hệ thống host-based IDS có thể là một cơng cụ
cực mạnh để phân tích các cuộc tấn cơng có thể xảy ra do nó thường cung cấp nhiều
thơng tin chi tiết và chính xác hơn một hệ network-based IDS.

-

Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím
xâm nhập vào một server sẽ khơng bị NIDS phát hiện.

-

Thích nghi tốt với mơi trường chuyển mạch, mã hố: Việc chuyển mạch và mã hoá
thực hiện trên mạng và do HIDS cài đặt trên máy nên nó khơng bị ảnh hưởng bởi hai
kỹ thuật trên.


-

Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn (FTP
Server, WebServer) nên HIDS khơng u cầu phải cài đặt thêm các phần cứng khác.

[Type text]

Page 7


Nhược điểm:
-

Khó quản trị: các hệ thống host-based IDS yêu cầu phải được cài đặt trên tất cả các
thiết bị đặc biệt mà bạn muốn bảo vệ. Đây là một khối lượng cơng việc lớn để cấu
hình, quản lí, cập nhật.

-

Thơng tin nguồn khơng an tồn: một vấn đề khác kết hợp với các hệ thống host-based
là nó hướng đến việc tin vào nhật ký mặc định và năng lực kiểm sốt của server. Các
thơng tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt động sai, không
phát hiện được xâm nhập.

-

Hệ thống host-based tương đối đắt: nhiều tổ chức khơng có đủ nguồn tài chính để bảo
vệ tồn bộ các đoạn mạng của mình sử dụng các hệ thống host-based. Những tổ chức
đó phải rất thận trọng trong việc chọn các hệ thống để bảo vệ. Nó có thể để lại các lỗ

hổng lớn trong mức độ bao phủ phát hiện xâm nhập. Ví dụ như một kẻ tấn công trên
một hệ thống láng giềng khơng được bảo vệ có thể đánh hơi thấy các thông tin xác
thực hoặc các tài liệu dễ bị xâm phạm khác trên mạng.

-

Chiếm tài nguyên hệ thống: Do cài đặt trên các máy cần bảo vệ nên HIDS phải sử
dụng các tài nguyên của hệ thống để hoạt động như: bộ vi xử lí, RAM, bộ nhớ ngồi.

1.2Phương thức hoạt động hệ thống phát hiện xâm nhập (IDS)
Hệ thống phát hiện xâm nhập (IDS) cho phép các tổ chức bảo vệ hệ thống của họ khỏi
những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Một
số chức năng của IDS như sau:
•

Bảo vệ tính tồn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp

•

pháp hoặc phá hoại dữ liệu.
Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi. Bảo vệ tính khả
dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của

•

người dùng hợp pháp.
Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn
được sự truy nhập thông tin bất hợp pháp.


[Type text]

Page 8


•

Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi
phục, sửa chữa…
Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ
• Giám sát: lưu lượng mạng và các hoạt động khả nghi
• Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị
• Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

-

•
•

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại
Chức năng mở rộng:
Phân biệt: tấn cơng bên trong và tấn cơng bên ngồi.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào
sự so sánh thông lượng mạng hiện tại với baseline (thông số đo đạc chuẩn của

hệ thống).
Ngồi ra hệ thống phát hiện xâm nhập IDS cịn có chức năng:
• Ngăn chặn sự gia tăng của những tấn cơng
• Bổ sung những điểm yếu mà các hệ thống khác chưa làm được

• Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu, việc đưa ra những điểm
yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ
phịng thủ của các nhà quản trị mạng.
1.2.1 Kiến trúc hệ thống IDS
Các nhiệm vụ thực hiện

Hình 3 : Quá trình của IDS

[Type text]

Page 9


Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống
máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ
thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải
kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc
làm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một
nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục.
Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn
thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn cơng (sự xâm
phạm).

Hình 4 : Cơ hở hạ tầng IDS
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản
trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên
hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đó bổ sung (các chức
năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ
thống, cơ sở hạ tầng hợp lệ,…) - theo các chính sách bảo mật của các tổ chức. Một

IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình
tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong
tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập
đơi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao
diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail.
[Type text]

Page 10


1.2.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Hình 5: Một IDS mẫu. Thu hẹp bề rộng tương ứng với số lượng luồng thông tin
giữa các thành phần hệ thồng
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin
(information collection), thành phần phân tích gói tin (dectection), thành phần phản
hồi (respontion) nếu gói tin đó được phát hiện là một tấn cơng của tin tặc. Trong ba
thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này
bộ cảm biến đóng vai trị quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để
hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu - một bộ tạo sự kiện. Cách
sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông
tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính
sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc
các gói mạng. Số chính sách này cùng với thơng tin chính sách có thể được lưu trong
hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ
liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà khơng có sự lưu dữ liệu nào
được thực hiện. Điều này cũng liên quan một chút đến các gói mạng.


[Type text]

Page 11


Hình 6: Mơ hình hoạt động của 1 hệ thống IDS
Vai trò của bộ cảm biến là dùng để lọc thơng tin và loại bỏ dữ liệu khơng tương thích
đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được
các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho
mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn cơng, profile hành vi thơng
thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữa
các tham số cấu hình, gồm có các chế độ truyền thơng với module đáp trả. Bộ cảm
biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp
tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả
chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một
tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra - tạo phân tích bước đầu và thậm
chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ
phân tích trung tâm là một trong những thành phần quan trọng của IDS. IDS có thể sử
dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn
cơng phân tán. Các vai trị khác của tác nhân liên quan đến khả năng lưu động và tính
chuyển vùng của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân đặc biệt có thể
[Type text]

Page 12



dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định
khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số khơng bình thường các telnet session (giao thức/dịch vụ) bên trong hệ
thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự
kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác
(tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu
phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ
thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ
kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một
host), điều đó có nghĩa là chúng có thể tương quan với thơng tin phân tán. Thêm vào
đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.

Hình 7: Các tác nhân tự trị cho việc phát hiện xâm phạm

Ngồi ra cịn có 1 số điểm chú ý sau:
- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mơ tổ chức của doanh nghiệp
cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.
[Type text]

Page 13


- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát,
kiểm tra thông tin đầu vào đầu ra:
+ Chiến lược tập trung: Là việc điều khiển trực tiếp các thao tác như kiểm tra, phát
hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm.

+ Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần, sau đó
báo cáo về vị trí trung tâm.
+ Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp
điều khiển các thao tác giám sát, kiểm tra báo cáo.
1.2.3 Cách tạo signature, engine phát hiện tấn cơng
Signature là những phần mà ta có thể thấy được trong một gói dữ liệu. Nó được sử
dụng để phát hiện ra một hoặc nhiều kiểu tấn công. Signature có thể có mặt trong các
phần khác nhau của một gói dữ liệu. Ví dụ ta có thể tìm thấy các tín hiệu trong hearder
IP, hearder của tầng giao vận (TCP, UDP hearder) hoặc header tầng ứng dụng. Thông
thường, IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập.
Các nhà cung cấp IDS cũng thường xun cập nhật những tín hiệu tấn cơng mới khi
chúng bị phát hiện ra.

Hình 8: Minh họa một hệ thống phát hiện xâm nhập điển hình bằng phân
tích“signature”xâm nhập mạng

[Type text]

Page 14


Một mạng máy tính điển hình, với một “mạng nội bộ” được bảo vệ bởi một hệ thống
phát hiện xâm nhập (IDS) cảm biến 11 phù hợp với phát kiến. Mạng nội bộ 10 là
mạng được bảo vệ, với phần còn lại của mạng được gọi đây là “mạng ngoại vi”.
Người ta cho rằng mạng nội bộ 10 tiếp nhận và gửi dữ liệu trong “gói”, được chuyển
giữa các phân đoạn mạng thơng qua bộ định tuyến 12

Hình 9: Minh họa một “signature” đại diện cho một hành vi thường xuyên và
biểu hiện dưới dạng cây quyết định
Một biểu hiện thường xuyên cho các thẻ SYN ACK “signature” có thể được biểu diễn

như là một cây 60 quyết định. Nếu một hành vi đầu tiên, thẻ SYN, được phát hiện,
quá trình định liệu các sự kiện ACK có thể xảy ra nối tiếp. Nếu tiến trình như vậy, quá
trình tiến hành tính tốn bắt đầu. Tại bất kỳ nút nào, nếu sự kiện khơng xảy ra, q
trình này được hoạt dẫn. Nếu tất cả các sự kiện xảy ra, “signature” cho thấy một sự
lạm dụng bất thường.
Một Cisco IDS signature là một tập hợp các quy tắc mà cảm biến sử dụng để

-

phát hiện ra các hành động xâm phạm đặc trưng. Cảm biến hỗ trợ các loại
•

signature dưới đây:
Built-in signatures: Các signature với các tấn công đã biết (một vài cung cấp
thơng tin về cảm biến - ví dụ: signature 993 (Missed Packet Count - cảnh báo
khi cảm biến drop packet, đồng thời cung cấp cho ta số phần trăm packet bị
drop bởi cảm biến) được nằm trong Sensor software. Khơng thể thêm, xố,
hoặc đổi tên các signature từ danh sách các built-in signature, có thể chỉnh sửa
các signature loại này bằng cách chỉnh sửa một vài tham số => Tuned

•

signature.
Tuned signatures: Các Built-in signature đã được chỉnh sửa

[Type text]

Page 15



•
-

Custom signatures: Những signature mới tạo ra
Khi cảm biến quét các packet, chúng sử dụng signature để phát hiện ra những
tấn công đã biết và phản ứng lại bằng những hành động mà ta định nghĩa trong
signature.
Signature-based intrusion detection có thể sinh ra “trạng thái nhầm” bởi vì

-

những hoạt động bình thường của mạng có thể bị hiểu sai thành những hoạt
động có hại. Ví dụ, một vài ứng dụng mạng hay OS (Operating System) có thể
gửi ra ngồi một lượng lớn ICMP (Internet Control Message Protocol)
message, và signature-based detection system có thể tưởng nhầm thành một cố
gắng thăm dị mạng của attacker. Ta có thể hạn chế “trạng thái nhầm” bằng
cách điều chỉnh các signature.
Phải enable các signature để theo dõi lưu thông mạng. Các signature quan trọng

-

được enable mặc định. Khi một tấn công được xác định là phù hợp với một
signature đã được enable, cảm biến sẽ phát ra một kịch bản cảnh báo và lưu nó
vào kho lưu trữ các kịch bản đã xảy ra. Các kịch bản cảnh báo, cũng như các
kịch bản khác có thể lấy được từ kho lưu trữ các kịch bản bằng web-based
client. Nhật ký cảm biến tất cả những cảnh báo từ mức informational => higher
là mặc định.
Một vài signature có các subsignature (Các signature con). Điều này có nghĩa

-


rằng signature được phân chia thành các loại nhỏ hơn. Khi ta cấu hình một
subsignature, những thay đổi với những tham số của subsignature chỉ áp dụng

•

cho subsignature đó.
Các Cisco IDS signature có những đặc điểm và khả năng dưới đây:
Regular expression string pattern matching: Khả năng tạo ra những mẫu xâu

•

hay mảng cấu trúc dữ liệu sử dụng regular expression (biểu thức chính quy).
Giúp cấu hình cảm biến xác định chính xác xâu theo mẫu trong q trình lưu

-

•
•
-

thơng mà nó phân tích.
Cho phép diễn tả đơn giản những mẫu (pattern) phức tạp
Bao gồm các ký tự đặc biệt như: (); | ; [abc]
Response actions: Cảm biến có thể có hành động (phản ứng) khi signature
được trigger: Kết thúc phiên TCP giữa nguồn của tấn công và host làm mục

-

tiêu.

Log những IP packet tiếp theo từ nguồn của tấn công.
Khởi tạo blocking IP traffic từ nguồn của tấn công.

[Type text]

Page 16


-

Alarm summarization: Đặc điểm này giúp cảm biến tập hợp các cảnh báo để

-

hạn chế số lần một cảnh báo được gửi ra khi signature được trigger.
Threshold configuration: Khả năng điều chỉnh các signature để tối ưu hoá trong

-

mạng.
Anti-evasive techniques: signature có khả năng làm thất bại các kỹ thuật lẩn

-

tránh được sử dụng bởi attacker.
Cisco IDS Alarm: Cảm biến Cisco IDS phát ra cảnh báo khi một signature
được trigger. Alarm event được lưu trên cảm biến và có thể được “kéo” về host
chạy IEV (IPS Event Viewer - đọc các sự kiện xảy ra) hay CiscoWorks
Monitoring Center for Security. Alarm severity level (Mức độ nghiêm trọng)
được xác định bởi mức độ được gán cho Cisco IDS signature. Các severity

level: InFomational (mang tính cung cấp thơng tin); Low (thấp); Medium
•
•

(trung bình); High (Cao)
Cisco IDS Signature Engines:
Signature engine là một thành phần của cảm biến hỗ trợ một loại các signature.
Cisco IDS Signature Engine làm cho ta có thể “tune” - điều chỉnh và tạo ra các

•

signature duy nhất trong mơi trường mạng.
Mỗi một signature được tạo ra sử dụng một signature engine đặc trưng được
thiết kế cho lưu thông thoại đang được giám sát. Một engine bao gồm phân tích
và kiểm tra. Mỗi một engine có một tập hợp các tham số hợp lệ mà có một dãy
hoặc tập hợp các giá trị được cho phép.

[Type text]

Page 17


1.3 Các mơ hình triển khai IDS
1.3.1 Mơ hình tập trung cảm biến

Hình 10: Mơ hình tập trung cảm biến
1.3.2 Mơ hình phân tán các cảm biến

Hình 11: Mơ hình phân tán cảm biến


[Type text]

Page 18


PHẦN MỀM PHÁT HIỆN XÂM NHẬP IDS - OSSIM
1.4 Một số IDS được dùng phổ biến
1.4.1 IDS mã nguồn mở
Hiện nay trên thế giới có rất nhiều phần mềm mã nguồn mở được phát triển
phục vụ cho việc dị tìm các bất thường, dấu hiệu tấn công trên mạng. Nhiều công cụ
phát triển độc lập nhau nhưng nhiều công cụ lại được phát triển lẫn nhau (xuất phát từ
một công cụ có trước, tích hợp thêm các chức năng để tạo ra công cụ khác).
Tham khảo trên một số trang về bảo mật trong nước cũng như quốc tế dưới đây
là danh sách một số cơng cụ nổi bật:
•

Snort:

-

Là hệ thống phát hiện/ ngăn chặn tấn công mạng.

-

Khả năng: Phát hiện các kiểu tấn công DoS, DDoS, Worm, SNMP, SMB,
…

-

Là phần mềm IDS được cộng đồng mạng đánh giá cao và sử dụng nhiều

nhất trên thế giới.

-


•

OSSEC:

-

Là hệ thống phát hiện tấn cơng trên máy.

-

Khả năng: phân tích log, kiểm tra tính tồn vẹn của file, giám sát các chính
sách, dị tìm rootkit. Đặc biệt là phân tích log của firewall, IDS, máy chủ
web.

-

/>•

SamHain:

-

Là hệ thống phát hiện tấn cơng trên máy.

-


Khả năng: kiểm tra tính tồn vẹn của file, giám sát và phân tích file, dị
rootkit, giám sát port, dị tìm mã độc GUID, dị tìm các tiến trình ẩn.

-

/>•

[Type text]

Port Scan Attack Detector (PSAD)

Page 19


-

Là tập các daemon chạy trên Linux phân tích các thơng tin trong log của
iptable để dị tìm các cổng (port) và lưu lượng nghi ngờ khác.

-

PSAD còn được kết hợp với fwsnort và Netfilter để tạo ra nhiều đặc tính
hơn.

-

Khả năng: kết hợp với dấu hiệu từ Snort để dị tìm một vài chương trình
backdoor (EvilFTP, GirlFriend, SubSeven), DDoS tools (mstream, shaft) và
qt cổng (FIN, NULL, XMAS)


-

/>•

ModSecurity:

-

Là cơng cụ phát hiện và ngăn chặn tấn công cho ứng dụng web

-

Khả năng: giám sát và phân tích lưu lượng HTTP

-

/>•

-

QuIDScor:

Là dự án mã nguồn mở về đánh giá tương quan giữa hệ thống phát hiện
xâm nhập và công cụ đánh giá điểm yếu.

-

Khả năng: Từ các cảnh báo do một IDS phát hiện (như là Snort) và
QualysGuard rà quét các điểm yếu sẽ được QuIDScor đánh giá tương quan

và đưa ra cảnh báo.

-

/>•

-

OSSIM:

Là bộ phần mềm tích hợp từ nhiều công cụ mã nguồn mở như Snort,
OSSEC, Pads, P0f, nessus, ntop, arpwatch, OpenVAS, IPtable.

-

Khả năng: Đánh giá tương quan kết quả từ các công cụ trên để đưa ra cảnh
báo.

-

Là sản phẩm miễn phí

-

Hỗ trợ giao diện đồ họa trực quan, nhiều tính năng thống kê báo cáo.

-

Các phiên bản phần mềm của OSSIM và luật trong Snort được cập nhật
thường xuyên.


-

/>
[Type text]

Page 20


1.4.1 Mức độ sử dụng các thành phần trong IDS - OSSIM
ST
T

Plugin

Chức năng

Mức độ khai thác hiện tại

1

Snort

Phát hiện tấn cơng

Chủ yếu sử dụng plugin này để
phân tích và đánh giá các sự kiện
xảy ra với hệ thống mạng.

2


arpwatch

Phát hiện các địa chỉ MAC bất Mức độ khai thác trung bình- vì chỉ
thường
giám sát một vùng mạng DMZ

3

Nessus

Rà xốt các lỗ hổng trong hệ Mức độ khai thác = 0. Với lý do:
thống mạng và tạo ra mối tương cấu hình máy IDS thấp nên chạy
quan chéo giữa lỗ hổng, sự kiện và công cụ này sẽ bị treo máy.
các cảnh báo đưa ra.

4

OpenVAS

Tương tự như nessus

5

Ntop

Xây dựng các thông tin về mạng, Mức độ khai thác ở mức trung
về giao thức, về lưu lượng của các bình.
gói tin. Sử dụng thơng tin kết hợp
với các tool khác để có thể đưa ra

phân tích.

6

Pof

Sử dụng để phát hiện sự thay đổi Mức độ khai thác trung bình.
hệ điều hành trong hệ thống mạng Lý do: vùng mạng được giám sát là
tĩnh, khả năng biến động rất nhỏ.

8

Pads

Sử dụng để phát hiện ra các bất Down
thường trong hệ thống mạng

9

IPtable

Sử dụng để lọc các gói tin đi qua Khai thác ở mức thấp. Lý do IDS
IDS
không hoạt động ở chế độ inline
mode và hiện tại chỉ lọc các gói tới
IDS.

10

Ossec


Là hệ thống dị tìm tấn cơng trên
host. Nó phân tích log, kiểm tra
tính tồn vẹn của file, theo dõi
chính sách, phát hiện rootkit…

Tương tự với Nessus

Yêu cầu phải cài đặt công cụ này
trên đối tượng cần giám sát. Hiện
tại chỉ phân tích log và theo dõi
chính máy IDS

Hiện tại do cấu hình phần cứng của máy cài đặt rất thấp so với u cầu đáp ứng
của tồn bộ các cơng cụ trong bộ OSSIM, hệ thống mới chỉ dừng ở việc khai thác
[Type text]

Page 21


công cụ Snort. Chức năng đánh giá tương quan (Correlation) giữa các cơng cụ là chưa
được thực hiện, do đó kết quả trong mục Alarm chưa có nhiều và mức độ tin cậy chưa
cao.
1.4.2 Cơ chế làm việc của SNORT
Snort hoạt động dựa trên việc so sánh gói tin capture được với các dấu hiệu đã
biết.
Mỗi dấu hiệu tấn công được lưu trong 1 luật (Rule) của Snort.
Các Rule được nhóm thành các nhóm khác nhau như DOS, DDOS, Virus,
Worm, SNMP,SMB…
Ví dụ một Rule của Snort:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP modules.php access"; flow:to_server,established;
uricontent:"/modules.php"; nocase; reference:bugtraq,9879; classtype:webapplication-activity; sid:2565; rev:1;)
Một Rule của Snort được chia làm 2 phần: Header và Option
Phần Header bao gồm các thông tin về kiểu cảnh báo, giao thức phân tích, địa
chỉ IP: Port nguồn/đích, hướng lưu lượng áp dụng luật
Phần Option có thể nói là trái tim của động cơ dị tìm tấn cơng (Intrusion
Detection Engine) trong Snort. Các đặc tính tùy chọn trong phần này được ngăn cách
nhau bởi dấu chấm phẩy ; và thể hiện đặc tính thơng qua các từ khóa.
Trong phần Option có thể phân thành 4 loại chính:
-

General: cung cấp thơng tin về luật nhưng khong có bất cứ ảnh hưởng nào
trong suốt q trình dị tìm.

-

Payload: tìm kiếm dữ liệu bên trong gói tin payload và có thể là liên quan
bên trong

-

Non-Payload: tìm kiếm dữ liệu non-payload

-

Post-Detection: là tác động riêng của luật xảy ra sau khi một luật khớp với
mẫu gói tin so sánh

Nhận xét: Do luật được viết dựa trên các dấu hiệu về hành vi đã xảy ra hoặc

nghi ngờ xảy ra nên tùy thuộc vào độ chính xác của đặc tính nhận biết sẽ cho kết quả
chính xác hay khơng.
[Type text]

Page 22


1.4.3 Quy trình quản trị IDS – OSSIM
-

Theo dõi các cảnh báo trong bảng Event, Alarm.

-

Phân tích các dấu hiệu nghi ngờ: dựa vào các yếu tố như IP lạ, khối lượng
bản tin cảnh báo tăng đột biến, đọc nội dung mô tả của dấu hiệu bất thường
(Signature)… để đưa ra kết luận.

-

Sử dụng công cụ quản trị mạng khác như Nessus, nmap, ntop, metasploit,…
rà quét lỗ hổng của đối tượng có nghi ngờ dấu hiệu bất thường trên.

-

Đánh giá tương quan trên cùng một đối tượng nếu có tồn tại lỗ hổng đồng
thời xuất hiện dấu hiệu bất thường hay khơng để kết luận mức độ nguy hại
và có biện pháp xử lý trong từng trường hợp.

-


Theo dõi và cập nhật thường xuyên các luật (Rule) trong Snort, các phiên
bản mới của OSSIM.

1.4.4 Những yếu điểm tồn tại khi sử dụng IDS – OSSIM
- Không sử dụng được hết các công cụ và một chức năng mạnh ( chức năng
tương quan) của OSSIM .
-

Ưu điểm của Snort là cho phép người dùng can thiệp như việc chỉnh sửa,
thêm, bớt các luật (Rule) lại chưa được phát huy do trình độ đội ngũ quản
trị IDS cịn hạn chế.

-

Việc phân tích, nhận định các dấu hiệu còn tùy thuộc vào kinh nghiệm của
nhà quản trị. Đây là một cơng việc khó.

1.4.5 Yêu cầu phần cứng cài IDS-OSSIM
Với cấu hình như hiện tại (RAM 2G, CPU 1.8 GHZ, HDD 80G), nếu chạy
đồng thời các cơng cụ rà qt như Nessus, Ntop thì máy tính sẽ bị treo do đó mới chỉ
khai thác chức năng phát hiện tấn cơng của Snort cịn chức năng đánh giá tương quan
giữa các công cụ (snort, nessus, ntop,…) thì chưa được phát huy.
Dựa vào một số khuyến nghị phần cứng của Alienvault và dựa vào lưu lượng
của từng phân vùng logic trên hệ thống mạng, nhóm thực hiện đưa ra một số yêu cầu
đối với phần cứng máy tính cài IDS-OSSIM để có thể sử dụng tối đa các cơng cụ có
trong bộ OSSIM:
Phần cứng
HDD
RAM

CPU
Card Mạng
[Type text]

250 Gb – 7500rpm- 2.4 ghz
4G
1 Core 2 Quad
Ethernet 100 MB
Page 23


Thông lượng tối đa
Khả năng lưu trữ
Khả năng xử lý

Max 50MB
2 triệu sự kiện
500 ̣ kiện /giây

Tài liệu tham khảo:
1. />2. A Design for Building an IPS Using Open Source Products
3. />
%E1%BA%A7n-i.html/
4. Snort Cookbook
5. Signature engines
6. Implementing Cisco Intrusion Prevention Systems

[Type text]

Page 24