Môn học: Ứng dụng truyền
thông và An ninh thông tin
Giảng viên: ThS. Tô Nguyễn Nhật Quang

Đề tài: Intrusion Detection System (IDS) –
Hệ thống phát hiện xâm nhập




Danh sách nhóm 21:
 Hồ Trọng Nghĩa- 07520249
 Nguyễn Văn Tuyển - 07520393
 Nguyễn Vũ Toàn - 07520365
 Nguyễn Huỳnh Hải Nam - 07520238
 Trương Quang Thạnh - 07520324


Các phần chính
1. Khái niệm về IDS
 2. Chức năng của IDS
 3. Kiến trúc của IDS
 4. Quy trình hoạt động của IDS
 5. Phân loại các mơ hình IDS
 6. Các hành động tấn công – xâm nhập
 7. Phân tích trong IDS
 8. Các kỹ thuật phân tích – xử lí thường dùng trong IDS
 9. Phát hiện hành vi bất thường
 10. Những hạn chế của IDS


1. Khái niệm về IDS


1.1 Khái niệm về IDS


IDS (Intrusion Detection System- hệ thống phát hiện
xâm nhập) là một hệ thống giám sát lưu thông mạng, các
hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị.



IDS cũng có thể phân biệt giữa những tấn công từ bên
trong (từ những người trong cơng ty) hay tấn cơng từ bên
ngồi (từ các hacker).



IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy
cơ đã biết (giống như cách các phần mềm diệt virus dựa
vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay
dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi
khác thường


1.2 Lịch sử ra đời của IDS



Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson



Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm
1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ



Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống
IDS chỉ được xuất hiện trong các phịng thí nghiệm và viện nghiên cứu



Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi
đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua
lại một công ty cung cấp giải pháp IDS tên là Wheel.



Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển.


1.3 Phân biệt những hệ thống không
phải là IDS


Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn
đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ

thống kiêm tra lưu lượng mạng.



Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).



Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy
hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định
có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một
công cụ phát hiện lỗ hổng bảo mật hiệu quả.



Tường lửa (firewall)



Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos,
Radius…


2. Chức năng của IDS


2. Chức năng của IDS
Chức năng quan trọng nhất của IDS là:
giám sát – cảnh báo.



Giám sát: lưu lượng mạng và các hoạt
động khả nghi.



Cảnh báo: báo cáo về tình trạng mạng
cho hệ thống và nhà quản trị.


2. Chức năng của IDS
Chức năng chính của IDS được cụ thể bởi các hành động như:


Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống
đã được cài đặt từ trước.



Phân tích thống kê những luồng traffic khơng bình thường.



Đánh giá và kiểm tra tính tồn vẹn của các file được xác định.



Thống kê và phân tích các user và hệ thống đang hoạt động.




Phân tích luồng traffic.



Phân tích event log (ghi chú sự kiện).


2. Chức năng của IDS


Ngồi ra, IDS cịn có thể giúp người
quản trị xác định được các cuộc tấn
công là tấn cơng từ bên trong hay bên
ngồi.



Một chức năng nữa của IDS là tạo phản
hồi khi xác định có tấn cơng. Những
phản hồi này được người quản trị lập
trình sẵn.


3. Kiến trúc của IDS


3. Kiến trúc của IDS
Một IDS bao gồm:



Trung tâm điều khiển (The Command Console)



Bộ cảm biến (Network Sensor)



Bộ phân tích gói tin (The Network Tap)



Thành phần cảnh báo (Alert Notification)


3.1 Trung tâm điều khiển
(The Command Console)
Trung tâm điều khiển là nơi mà IDS được
giám sát và quản lí. Nó duy trì kiểm sốt
thơng qua các thành phần của IDS, và
Trung tâm điều khiển có thể được truy cập
từ bất cứ nơi nào. Tóm lại Trung tâm điều
khiển duy trì một số kênh mở giữa Bộ cảm
biến (Network Sensor) qua một đường mã
hóa, và nó là một máy chuyên dụng.


3.2 Bộ cảm biến

(Network Sensor)
Bộ cảm biến là chương trình chạy trên các
thiết bị mạng hoặc máy chuyên dụng trên
các đường mạng thiết yếu. Bộ cảm biến
có một vai trị quan trọng vì có hàng nghìn
mục tiêu cần được giám sát trên mạng.


3.3 Bộ phân tích gói tin
(Network Tap)
Bộ phân tích gói tin là một thiết bị phần
cứng được kết nối trên mạng, khơng có
địa chỉ IP, kiểm sốt các luồng dữ liệu trên
mạng và gửi cảnh báo khi phát hiện ra
hành động xâm nhập.


3.4 Thành phần cảnh báo
(Alert Notification)
Thành phần cảnh báo có chức năng gửi
những cảnh báo tới người quản trị. Trong
các hệ thống IDS hiện đại, lời cảnh báo có
thể ở dưới nhiều dạng như: cửa sổ popup, tiếng chuông, email, SNMP.


3.5 Vị trí đặt IDS trong hệ thống mạng

Tùy vào quy mơ doanh
nghiệp và mục đích mà
ta có thể thiết kế vị trị

cũng như kiến trúc của
IDS khác nhau.


4. Quy trình hoạt động của IDS




Một host tạo gói tin.



Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin. (Bộ cảm
biến được đặt ở vị trí sao cho có thể đọc được gói tin này).



Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so
sánh gói tin với các tín hiệu được cài đặt trước. Khi có dấu hiệu xâm
nhập, một cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển
(The Command Console).



Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người
hay nhóm người được chỉ định từ trước để giải quyết.




Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.



Cảnh báo được lưu lại.



Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.


5. PHân loại các mơ hình IDS


5. Phân loại các mơ hình IDS



Có hai mơ hình IDS chính là
 Host – based IDS (H-IDS)
 Network – based IDS (N-IDS)


5.1 Host – based IDS (H-IDS)


5.1 H-IDS


Lợi thế:

 Có khả năng xác đinh user liên quan tới một event.
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra

trên một máy, NIDS không có khả năng này.
 Có thể phân tích các dữ liệu mã hố.
 Cung cấp các thơng tin về host trong lúc cuộc tấn công

diễn ra trên host này.


5.1 H-IDS


Hạn chế:
 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào

host này thành công.
 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải được thiết lập trên từng host cần giám sát.
 HIDS khơng có khả năng phát hiện các cuộc dò quét mạng

(Nmap, Netcat…).
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.