Tiểu luận Ứng dụng truyền thông và An ninh thông tin Hệ thống phát hiện xâm nhập IDS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.44 MB, 51 trang )

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN
KHOA MẠNG MÁY TÍNH & TRUYỀN THƠNG

BÁO CÁO
Mơn học: Ứng dụng truyền thơng và An ninh thông tin
Giảng viên: ThS. Tô Nguyễn Nhật Quang

Đề tài: Intrusion Detection System (IDS) – Hệ thống phát hiện xâm
nhập
Danh sách nhóm 21:
Hồ Trọng Nghĩa
Nguyễn Huỳnh Hải Nam
Nguyễn Văn Tuyển
Trương Quang Thạnh
Nguyễn Vũ Tồn

07520249
07520238
07520393
07520324
07520365

Thành phố Hồ Chí Minh, tháng 03 năm 2014

1

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Mục lục
I.Khái niệm về IDS……………………………………………………………….1
1.1.Khái niệm về IDS…………………………………………………………….1
1.2. Lịch sử ra đời của IDS…………………………………………………….....1
1.3.Phân biệt những hệ thống không phải là IDS………………………………...2
II.Chức năng của IDS…………………………………………………………….4
III.Kiến trúc của IDS……………………………………………………………..5
3.1.Trung tâm điều khiển…………………………………………………………5
3.2,Bộ cảm biến…………………………………………………………………..5
3.3.Bộ phân tích gói tin…………………………………………………………...6
3.4.Thành phần cảnh báo…………………………………………………………6
3.5.Vị trí đặt IDS…………………………………………………………………6
IV.Quy trình hoạt động của IDS………………………………………………….7
V.Các hành vi bất thường………………………………………………………...9
5.1.Các hành động tấn công……………………………………………………...9
5.2.Dấu vết của các hành động tấn công………………………………………..12
5.2.1.Sử dụng các lỗ hổng đã được biết đến…………………………………….12
5.2.2.Hoạt động mạng khác thường có tính chất định kỳ……………………….13
5.2.3.Các lệnh không được đánh hoặc trả lời trong các session tự động………..14
5.2.4.Mâu thuẫn trực tiếp trong lưu lượng………………………………………15
5.2.5.Các thuộc tính không mong muốn ………………………………………..16
5.2.6.Các vấn đề không được giải thích…………………………………………18

2

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

VI.Phân loại IDS…………………………………………………………...........19
6.1. Network - based IDS (NIDS)………………………………………………19
6.1.1.Mô hình thiết kế Network - based IDS……………………………………19
6.1.2.Lợi thế của Network - based IDS…………………………………………21
6.1.3.Hạn chế của Network - based IDS………………………………………...21
6.1.4. Phân loại mô hình thiết kế Network - based IDS………………………...22
6.2.Host - based IDS (HIDS)……………………………………………………25
6.2.1.Mô hình thiết kế Host - based IDS………………………………………..25
6.2.2.Lợi thế của Host - based IDS……………………………………………...27
6.1.3.Hạn chế của Host - based IDS…………………………………………….27
6.1.4. Phân loại mô hình thiết kế Host - based IDS……………………………..28
VII.Phân tích trong IDS…………………………………………………………31
7.1.Xử lý kiểm định……………………………………………………………..31
7.2.Xử lý online…………………………………………………………………33
VIII.Các kỹ thuật phân tích xử lý dữ liệu được xử dụng trong IDS…………….36
IX.Phát hiện hành vi bất thường………………………………………………...40
9.1.Các mẫu hành vi thông thường - phát hiện bất thường……………………..40
9.2.Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu…………………………..41
9.3.Tương quan các mẫu tham số……………………………………………….43
X.Những vấn đề mà IDS chưa thể giải quyết được……………………………..45
Tài liệu tham khảo………………………………………………………………46

3

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

LỜI CÁM ƠN
---------

Nhóm em xin chân thành cảm ơn Khoa Mạng máy tính và truyền thông,
trường Đại học Công nghệ thông tin Tp HCM đã tạo điều kiện cho em được học
và làm báo cáo môn “Ứng dụng truyền thông và an ninh thông tin”.
Em xin chân thành cảm ơn thầy Tô Nguyễn Nhật Quang, người đã tận
tâm truyền đạt những kiến thức nền tảng cơ bản cho chúng em về môn học “Ứng
dụng an ninh thông tin”.Em xin chân thành cảm ơn thầy với công lao trợ giúp
không mệt mỏi của thầy.
Xin chân thành cảm ơn bạn bè trong lớp đã giúp đỡ nhau chia sẻ tài liệu
về môn học.
Mặc dù đã rất nỗ lực, cố gắng nhưng kiến thức và kinh nghiệm thực tế còn
hạn chế nên chắc chắn bài báo cáo này vẫn còn nhiều thiếu sót. Em rất mong
nhận được sự góp ý đánh giá của các thầy cô để em có thể phát triển báo cáo
này thêm hoàn chỉnh hơn.
TpHCM, ngày 26 tháng 4 năm 2011
Lớp MMT02
Nhóm sinh viên thực hiện

4

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
....................................................................................................................
....................................................................................................................
....................................................................................................................

....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

5

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

I.

Khái niệm về IDS.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành

vô cùng quan trọng trong mọi hoạt động của xã hợi. Vấn đề bảo đảm an ninh, an
tồn cho thơng tin trên mạng ngày càng là mối quan tâm hàng đầu của các công

ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn
công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu
qủa. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa
(firewall) nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng
nhắc dựa trên các luật bảo vệ cớ định. Với kiểu phịng thủ này, các hệ thống an
ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm
vào điểm yếu của hệ thống. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống
gần đây được đông đảo những người liên quan đến bảo mật khá quan tâm, có
những tính năng tốt hơn.
I.1

Khái niệm về IDS.

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho
hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong
từ bên trong (từ những người trong công ty) hay tấn cơng từ bên ngồi (từ các
hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
I.2

Lịch sử ra đời của IDS:

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James
Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các
hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các
6

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về
hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm
1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến
tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS
chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên
trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ
của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực
sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận
ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên
là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn cịn phát triển.
I.3

Phân biệt những hệ thống khơng phải là IDS

Các thiết bị bảo mật dưới đây không phải là IDS:
-

Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối
với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở
đó sẽ có hệ thống kiêm tra lưu lượng mạng.

-

Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều

hành, dịch vụ mạng (các bộ quét bảo mật).

-

Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã
nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính
năng mặc định có thể rất giống hệ thống phát hiện xâm phạm và
thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

-

Tường lửa (firewall)

-

Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,
Kerberos, Radius…
7

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

II.

Chức năng của IDS
Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo.
-

Giám sát: lưu lượng mạng và các hoạt động khả nghi.

-

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

Chức năng chính của IDS được cụ thể bởi các hành động như:
-

Nhận ra những hành vi giống như những cuộc tấn công mà hệ
thống đã được cài đặt từ trước.

-

Phân tích thống kê những luồng traffic không bình thường.

-

Đánh giá và kiểm tra tính toàn vẹn của các file được xác định.

-

Thống kê và phân tích các user và hệ thống đang hoạt động.

-

Phân tích luồng traffic.

-

Phân tích event log (ghi chú sự kiện).

8

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

III. Kiến trúc của IDS
Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ
cảm biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần
cảnh báo (Alert Notification).
III.1 Trung tâm điều khiển (The Command Console)
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí.
Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm
điều khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm
điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor)
qua một đường mã hóa, và nó là một máy chuyên dụng.
III.2 Bộ cảm biến (Netword Sensor)
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc
máy chuyên dụng trên các đường mạng thiết ́u. Bợ cảm biến có mợt
vai trị quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên
mạng.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến
trên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các
port trên hub, và có thể phát hiện ra các luồng traffic bất thường.
Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin
đến chính xác địa chỉ cần gửi trên từng port. Để giải quyết vấn đề này,
một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng
(expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta
kết nối IDS vào port này. Port này được gọi là Switched Port Analyzer

(SPAN) port. SPAN port cần được cấu hình bởi các chuyên gia bảo
mật để nhân bản mọi luồng dữ liệu của switch.

9

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

III.3 Bộ phân tích gói tin (The Network Tap)
Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và
gửi cảnh báo khi phát hiện ra hành động xâm nhập.
III.4 Thành phần cảnh báo (Alert Notification)
Thành phần cảnh báo có chức năng gửi những cảnh báo tới
người quản trị. Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở
dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP.
III.5 Vị trí đặt IDS
Tùy vào quy mơ doanh nghiệp và mục đích mà ta có thể thiết kế
vị trị cũng như kiến trúc của IDS khác nhau.

Hình: Vị trí đặt IDS

10

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

IV. Quy trình hoạt động của IDS

1. Mợt host tạo gói tin.
2. Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin. (Bộ cảm
biến được đặt ở vị trí sao cho có thể đọc được gói tin này).
3. Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so sánh
gói tin với các tín hiệu được cài đặt trước. Khi có dấu hiệu xâm nhập, một
cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The Command
Console).
4. Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người hay
nhóm người được chỉ định từ trước để giải quyết.
5. Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
6. Cảnh báo được lưu lại.
7. Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.

11

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Hình: Quy trình hoạt động của IDS

12

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

V. Các hành vi bất thường
V.1

Các hành động tấn công

Các loại tấn công được phân thành hai loại như sau:
-

Bị động (được trang bị để tăng mức truy cập làm cho có thể
thâm nhập vào hệ thống mà không cần đến sự đồng ý của tài
nguyên CNTT)

-

Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ
của tài nguyên CNTT)

Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn
công được chia thành:
-

Bên trong, những tấn công này đến từ chính các nhân viên của
công ty, đối tác làm ăn hoặc khách hàng

-

Bên ngồi, những tấn cơng đến từ bên ngồi, thường thông qua
Internet.

Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là
nguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc
từ các nguồn quay số từ xa). Bây giờ chúng ta hãy xem xét đến các loại
tấn công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào một

chuyên mục đặc biệt. Các loại tấn công dưới đây có thể được phân biệt:
-

Những tấn công này liên quan đến sự truy cập trái phép đến tài
nguyên.

-

Việc bẻ khóa và sự vi phạm truy cập

-

Trojan horses
13

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

-

Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh
chặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống

-

Sự giả mạo

-

Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP

-

Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các
gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các
tham số ngăn xếp IP,…

-

Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát
hiện nhưng đôi khi vẫn có thể)

-

Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về
quyền sở hữu.

-

Lạm dụng tính xác thực; một loại hình tấn công bên trong, ví
dụ: nghi ngờ sự truy cập của một người dùng xác thực có thuộc
tính kỳ lạ (đến từ một địa chỉ không mong muốn)

-

Các kết nối mạng trái phép

-

Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như
truy cập vào các trang có hoạt động không lành mạnh

-

Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên
hoặc các quyền truy cập mức cao.

-

Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền
truy cập)
o Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền
quản trị viên hệ thống.
14

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

o Thay đổi và xóa thông tin
o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở
dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máy
tính của chính phủ.
o Thay đổi cấu hình trái phép đối với hệ thống và các dịch
vụ mạng (máy chủ)
-

Từ chối dịch vụ (DoS)
o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc

gửi đi một số lượng lớn các thông tin không giá trị để
làm tắc nghẽn lưu lượng hạn chế dịch vụ.
o Ping (Smurf) – một số lượng lớn các gói ICMP được gửi
đến một địa chỉ quảng bá.
o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các
message trong một thời điểm ngắn.
o SYN – khởi tạo một số lượng lớn các yêu cầu TCP và
không tiến hành bắt tay hồn tồn như được u cầu đới
với mợt giao thức.
o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau

-

Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó
o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng
lớn ICMP (vượt quá 64KB))
o Tắt hệ thống từ xa

15

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

-

Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có
thể gây ra như đã nói ở phần trên.

Cần phải nhớ rằng, hầu hết các tấn công không phải là một hành động

đơn, mà nó thường gồm có một số các sự kiện riêng lẻ.
5.2 Dấu vết của các hành động tấn công
Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi
không bình thương nào của hệ thống. Điều này có thể là cách hữu dụng
trong việc phát hiện các tấn công thực. Chúng ta hãy xem xét thêm về vấn
các triệu chứng để có thể lần theo dấu vết của những kẻ xâm phạm.
5.2.1 Sử dụng các lỗ hổng đã được biết đến
Trong hầu hết các trường hợp, việc cố gắng lợi dụng các lỗi
trong hệ thống bảo mật của một tổ chức nào đó có thể bị coi như hành
vi tấn công, đây cũng là triệu chứng chung nhất cho một sự xâm
phạm. Mặc dù vậy bản thân các tổ chức có thể phải có các biện pháp
chống lại kẻ tấn công bằng cách sử dụng các công cụ hỗ trợ trong việc
bảo vệ mạng –công cụ đó được gọi là bộ quét tình trạng file và bảo
mật. Chúng hoạt động nội bộ hoặc từ xa, tuy nhiên chúng cũng thường
bị những kẻ xâm nhập nghiên cứu rất kỹ.
Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cả
người dùng và kẻ tấn công. Việc kiểm tra tính đúng đắn về cách sử
dụng file bằng các bợ qt tồn vẹn và việc hiểu biết đến các bộ quét
lỗ hổng là cần thiết để phát hiện những cuộc tấn công đang trong quá
trình thực thi hoặc lần theo những hỏng hóc từ các tấn công thành
công. Từ những vấn đề đó nảy sinh ra các vấn đề cơng nghệ dưới đây:
•

Sự phát hiện của bợ qt. Cơng cụ kiểm tra tính tồn vẹn file

hoạt động theo một cách có hệ thống để có thể sử dụng các kỹ thuật
16

Môn học: Ứng dụng truyền thông và An ninh thông tin

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

mô hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ:
phần mềm anti-SATAN.
•

Mợt sự tương quan giữa việc quét và sử dụng là rất cần thiết

– việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năng
dịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công có
thể xuất hiện trong tương lai.
5.2.2 Hoạt động mạng khác thường có tính chất định kỳ
Mợt kẻ xâm phạm đang muốn tấn công một hệ thống thường
khai thác các ứng dụng và tiến hành nhiều phương pháp thử. Các hoạt
động xâm phạm thường khác với hoạt động của người dùng đang làm
việc với hệ thống. Bất kỳ một công cụ kiểm tra thâm nhập đều có thể
phân biệt các hoạt động khả nghi sau một ngưỡng. Nếu vượt quá một
ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và
công bố cho bạn biết. Đây là kỹ thuật thụ động cho phép phát hiện kẻ
xâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cần
qua việc kiểm tra định lượng.
Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập
được điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều
đặn và được xem xét theo các khía cạnh dưới đây:
•

Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt

động hợp lệ và nghi ngờ (để kích hoạt các báo cảnh). Các hoạt động
mạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số được

lấy từ (ví dụ) profile người dùng hoặc trạng thái Session.
•

Thời gian giữa những lần lặp là một tham số để xác định

thời gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạt
động bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăng
nhập không thành công.
17

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
•
Xây dựng mợt cơ sở dữ liệu ứng với các dấu hiệu

tấn công.

Một kẻ tấn công có thể có các hành động trung tính (hầu như xảy ra
trong giai đoạn thăm dò) và điều đó có thể làm sai lệnh các thiết bị
phịng chớng IDS.
5.2.3 Các lệnh khơng được đánh hoặc trả lời trong các session tự
động
Các dịch vụ và giao thức mạng được minh chứng theo những
cách nghiêm ngặt và sử dụng các công cụ phần mềm nhận dạng. Bất
kỳ một sự không tương thích nào với các mẫu đã được đưa ra (gồm có
các lỗi con người như việc xuất hiện lỗi in trong gói mạng) có thể là
thông tin có giá trị để phát hiện ra dịch vụ đang bị nhắm đến bởi kẻ
xâm nhập.
Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữ

chậm mail, thì chuỗi bản ghi của nó sẽ thể hiện thói quen thông
thường hoặc có thể đoán trước . Mặc dù vậy, nếu bản ghi chỉ thị rằng
một quá trình đặc biệt nào đó đã cung cấp các lệnh không hợp lệ thì
đây vẫn có thể là một triệu chứng của một sự kiện bình thường hoặc
một sự giả mạo.
Kiểm tra những tác đợng tấn cơng:
•

Phát hiện tấn công để khôi phục lại được các lệnh hoặc câu

trả lời dưới đây bằng việc khởi chạy chúng.
•

Phát hiện một số tấn công thất bại có thể thấy được giao

thức cú pháp của những lần tấn công thành công trước đó.
•

Việc phát hiện các tấn cơng đang nghiên cứu để thích nghi

nhằm bắt các lỗi liên quan đến cùng một đối tượng (dịch vụ, host).
Sau một chu kỳ nào đó, các lỗi này sẽ ngừng.
18

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

5.2.4 Mâu thuẫn trực tiếp trong lưu lượng
Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là

một trong những triệu chứng tấn công tiềm ẩn. Xem xét dữ liệu nguồn
và địa điểm (trong nước hoặc nước ngồi) có thể nhận dạng trực tiếp
về mợt gói tin.
Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên.
Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một session
đang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ một
mạng nội bộ là một session gửi đi.
Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấu
hiệu của mợt vụ tấn cơng:
•

Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng

nội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trong
trường hợp đó các gói có địa chỉ nguồn bên trong của chúng. Tình
huống này có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài.
Các vấn đề như vậy có thể được giải quyết tại các bộ định tuyến,
chúng có thể so sánh địa chủ nguồn với vị trí đích. Trong thực tế, số ít
bộ định tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành
cho tường lửa.
•

Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến

mạng ở ngồi với mợt địa chỉ đích của nó – trường hợp ngược lại. Kẻ
xâm nhập thực hiện từ bên ngồi và nhắm vào mợt hệ thớng ở ngồi
•

Các gói có các cởng nguồn và đích khơng mong muốn – nếu

cổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợp
với loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập
(hoặc quét hệ thống). Ví dụ: yêu cầu Telnet Service trên cổng 100
trong môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể
19

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

được hỗ trợ (nếu có). Sự mâu thuẫn trực tiếp hầu như đều có thể được
phát hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ. Mặc dù
vậy, các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thống
phát hiện xâm phạm.
5.2.5 Các thuộc tính khơng mong muốn
Các trường hợp thường xảy ra nhất là ở những nơi phải xử lý
một số lượng lớn các thuộc tính của gói hoặc các yêu cầu cụ thể đới
với dịch vụ. Chúng ta hồn tồn có thể định nghĩa mẫu thuộc tính
mong đợi. Nếu các thuộc tính gặp phải không phù hợp với mẫu này
thì nó có thể là mợt hành đợng xâm phạm.
•

Các tḥc tính thời gian và lịch biểu – trong môi trường nào

đó, hành vi mạng cụ thể có thể xảy ra một cách thường xuyên tại một
thời điểm nào đó trong ngày. Nếu hành vi thông thường này bị phá vỡ
thì trường hợp này cần phải được kiểm tra. Ví dụ, chúng tôi sử dụng
một công ty, nơi mà việc vận chuyển được tiến hành vào chiều thứ sáu
hàng tuânà. Bằng cách đó, dữ liệu số trao đổi trong các phiên giao
dịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xem

như các hành động bình thường. Tuy nhiên nếu thứ sáu là ngày nghỉ
mà vẫn xuất hiện việc truyền tải dữ liệu thì vấn đề này cần phải kiểm
tra.
•

Tḥc tính tài ngun hệ thớng. Các xâm phạm nào đó

thường liên làm ảnh hưởng xấu cho một số các thuộc tính hệ thống.
Việc bẻ khóa bằng cách thử lặp đi lặp lại password nhiều lần thường
liên quan đến sự sử dụng phần lớn hiệu suất CPU giống như các tấn
công DoS với các dịch vụ hệ thống. Sử dụng nhiều tài nguyên hệ
thống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ
và kết nối mạng) đặc biệt là những thời điểm không bìng thường rất
có thể là một dấu hiệu.
20

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
•
Với các gói có các thiết lập TCP phúc đáp không

mong đợi.

Nếu có một tập ACK-flag thông qua một gói và không có SYN-packet
(gói đồng bộ) trước được gửi thì cũng có thể là một trường hợp tấn
công (hoặc quét dịch vụ). Tình huống như vậy có thể cũng là trường
hợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhất
thiết là một tấn cơng.
•

Dịch vụ trợn lẫn các tḥc tính. Thơng thường chúng ta có

thể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp cho
một người dùng cụ thể. Ví dụ: nếu người dùng đang trong chuyến đi
công tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tải
file. Bất kỳ những cố gắng nào liên quan đến tài khoản của anh ta
thông qua Telnet để truy cập vào các cổng đều có thể là những tấn
công.
Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ,
cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phân
biệt các thuộc tính điển hình và các thuộc tính không mong muốn.
Một file dấu hiệu giữ một số các dịch vụ chung của một người dùng
cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính. Các thông tin
này bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vị
trí của máy trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng
tài nguyên, khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ.
5.2.6 Các vấn đề không được giải thích
Mợt kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguy
hiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục trong
hành vi của một hệ thống. Việc kiểm tra các ảnh hưởng như vậy
thường khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện. Dưới
đây là một số ví dụng của nó:

21

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
•

Các vấn đề khơng mong ḿn với phần cứng

hoặc phần

mềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạt
động, những lần khởi động lại hệ thống không mong muốn, thay đổi
các thiết lập đồng hồ hệ thớng.
•

Các vấn đề tài ngun hệ thớng: tràn file hệ thống; sự sử

dụng hiệu suất CPU không cách khơng bình thường.
•

Các thơng báo kỳ cục từ các tiện ích hệ thống, các tiện ích

hệ thống không hoạt động hoặc bị phá hủy. Những triệu chứng như
vậy luôn phải nghi ngờ.
•

Các vấn đề hiệu śt hệ thớng (các bộ định tuyến hoặc các

dịch vụ hệ thống có thời gian đáp ứng máy chủ quá lâu)
•

Hành vi người dùng không mong muốn, ví dụ: truy cập

không mong muốn vào tài ngun hệ thớng.
•

Hành vi kiểm định khơng mong ḿn. Các bản ghi kiểm

định thu nhỏ kích thước (trừ khi được cố ý bởi quản trị viên hệ thống).

VI. Phân loại IDS
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái
phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3
yếu tố cơ bản nền tảng sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công.

22

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích
ở trên.
6.1 Network - based IDS (NIDS)
6.1.1 Mơ hình thiết kế Network – based IDS

Hình: Mơ hình Netword – based IDS (NIDS)
Hệ thớng IDS dựa trên mạng sử dụng bợ dị và bợ bợ cảm biến cài đặt trên
tồn mạng. Những bợ dị này theo dõi trên mạng nhằm tìm kiếm những lưu
lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.
Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi
ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh

báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn
những xâm nhập xa hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo
23

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát
hiện đó là tấn công hay không.
Được đặt giữa kết nối hệ thớng mạng bên trong và mạng bên ngồi để
giám sát tồn bợ lưu lượng vào ra. Có thể là mợt thiết bị phần cứng riêng biệt
được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu
lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi
lưu lượng mạng hoạt động ở mức cao.
Các hệ thống xâm nhập mạng điển hình là: Cisco Secure IDS (tên cũ là
NetRanger), Hogwash, Dragon, E-Trust IDS.
6.1.2 Lợi thế của Network – based IDS
-

Quản lý được cả một network segment (gồm nhiều host)

-

"Trong suốt" với người sử dụng lẫn kẻ tấn công

-

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

-

Tránh DOS ảnh hưởng tới một host nào đó.

-

Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).

-

Độc lập với OS

6.1.3 Hạn chế của Network – based IDS
Có thể xảy ra trường hợp báo động giả (false positive), tức không có
intrusion mà NIDS báo là có intrusion.
Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an
toàn
24

Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo
động được phát ra, hệ thống có thể đã bị tổn hại.
Không cho biết việc attack có thành công hay không.
Một trong những hạn chế là giới hạn băng thơng. Những bợ dị mạng phải
nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân
tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dị cũng vậy. Mợt giải

pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của
nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào
để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi
gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi
giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn
hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ
là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại
không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện
tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho
đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu
phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm
nhập nếu bộ cảm biến không thể sắp xếp lại những gói thơng tin mợt cách chính
xác.
6.1.4 Phân loại mơ hình thiết kế Network – based IDS
NIDS có hai mô hình căn bản là: Mô hình truyền thống (traditional)
và Mô hình phân tán (distributed).
Mơ hình truyền thống (Traditional NIDS)
Mơ hình trùn thớng sử dụng bộ cảm biến trong hệ thống mạng. Bộ
cảm biến là một máy tính được cấu hình chạy phần mềm IDS và thường
25

Tiểu luận Ứng dụng truyền thông và An ninh thông tin Hệ thống phát hiện xâm nhập IDS

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về