Tải bản đầy đủ (.doc) (81 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Hệ thống phát hiện xâm nhập IDS SNORT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.01 MB, 81 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN CHUYÊN NGÀNH
HỆ THỐNG PHÁT HIỆN XÂM
NHẬP IDS
GVHD: Lư Huệ Thu
SVTH: Ngô Chánh Tính-107102245
Huỳnh Hoàng Tuấn-107102235
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
TPHCM, Tháng 11 Năm 2010
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
I. Những mối đe dọa về bảo mật
1. Mối đe dọa không có Cấu Trúc (Untructured threat)
2. Mối đe dọa có Cấu Trúc (Structured threat)
3. Mối đe dọa từ Bên Ngoài (External threat)
4. Mối đe dọa từ Bên Trong (Internal threat)
II. Khái niệm về bảo mật
1. Khái Niệm
2. Kiến Trúc Về Bảo Mật
III. Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống
A. Các Phương Pháp Xâm Nhập Hệ Thống
1. Phương thức ăn cắp thống tin bằng Packet Sniffers
2. Phương thức tấn công mật khẩu Password attack
3. Phương thức tấn công bằng Mail Relay
4. Phương thức tấn công hệ thống DNS
5. Phương thức tấn công Man-in-the-middle attack
6. Phương thức tấn công để thăm dò mạng
7. Phương thức tấn công Trust exploitation
8. Phương thức tấn công Port redirection


9. Phương thức tấn công Port redirection
10. Phương thức tấn Virus và Trojan Horse
B. Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập
1. Phương thức ăn cắp thống tin bằng Packet Sniffers
2. Phương thức tấn công mật khẩu Password attack
3. Phương thức tấn công bằng Mail Relay
4. Phương thức tấn công hệ thống DNS
5. Phương thức tấn công Man-in-the-middle attack
6. Phương thức tấn công để thăm dò mạng
7. Phương thức tấn công Trust exploitation
8. Phương thức tấn công Port redirection
9. Phương thức tấn công Port redirection
10. Phương thức tấn Virus và Trojan Horse
IV. Sự Cần Thiết Của IDS
1. Sự giới hạn của các biện pháp đối phó
2. Những cố gắng trong việc hạn chế xâm nhập trái phép
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 2
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDS
I. Tổng Quan Về IDS
A. Giới Thiệu Về IDS
1. Khái niệm “Phát hiện xâm nhập”
2. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)
3. Phân biệt những hệ thống không phải là IDS
B. Lợi Ích Của IDS:
1. IDS (Intrusion Detection System)
2. IPS (Phát hiện và ngăn chặn xâm nhập)
2.1. Nguyên lý hoạt động của hệ thống
2.2. Các kiểu hệ thống IPS
C. Chức Năng của IDS

D. Phân Loại
1. Network-Based IDSs.
2. Lợi thế của Network-Based IDSs.
3. Hạn chế của Network-Based IDSs.
4. Host Based IDS (HIDS).
5. Lợi Thế của HIDS.
6. Hạn chế của HIDS.
7. DIDS.
E. Kiến Trúc Của IDS.
1. Các nhiệm vụ thực hiện.
2. Kiến trúc của hệ thống phát hiện xâm nhập IDS.
II. Phương Thức Thực Hiện.
1. Misuse – based system
2. Anomaly – based system
III. Phân loại các dấu hiệu
1. Phát hiện dấu hiệu không bình thường
2. Các mẫu hành vi thông thường- phát hiện bất thường
3. Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
4. Tương quan các mẫu tham số
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 3
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
IV. CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG
DỤNG CỦA IDS
1. Denial of Service attack (Tấn công từ chối dịch vụ)
2. Scanning và Probe (Quét và thăm dò)
3. Password attack (Tấn công vào mật mã)
4. Privilege-grabbing (Chiếm đặc quyền)
5. Hostile code insertion (Cài đặt mã nguy hiểm)
6. Cyber vandalism (Hành động phá hoại trên máy móc)
7. Proprietary data theft (Ăn trộm dữ liệu quan trọng)

8. Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)
9. Audit trail tampering (Can thiệp vào biên bản)
10. Security infrastructure attack (Tấn công hạ tầng bảo mật)
CHƯƠNG III THỰC NGHIỆM
I. Giới thiệu về Snort IDS
1. Giới Thiệu
2. Các thành phần của Snort
3. Tập luật (rulesets) trong Snort
II. Triển Khai IDS
1. Mô hình
2. Thực hiện
CHƯƠNG IV KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
I.Kết luận
II.Hướng phát triển
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN
XÂM NHẬP
Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Việc học
tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 4
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
hành động thường ngày của mọi người. Khả năng kết nối trên toàn thế giới đang mang lại
thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa
tới mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến
tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng
lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng
Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm
đến trong mọi thời điểm.
Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp
lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn
chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ

liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus
mới nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng
với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những
phương pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến yêu cầu
phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền
thống.
Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng
chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống
và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên
cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các
chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái
phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế. Nguyên
nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào
tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị,
nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở
Việt Nam hiện nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên
cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là
phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có
thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể
ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ
cho người dùng.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 5
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
I.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT
1. Mối đe dọa không có cấu trúc ( Untructured threat)
Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải
chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người thích
thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn
công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử

dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những
người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng
cũng có nhiều cuộc tấn công có ý đồ xấu. Những trường hợp đó có ảnh hưởng xấu đến hệ
thống và hình ảnh của công ty.
Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể
phá hoại hoạt động của công ty và là một mối nguy hại lớn. Đôi khi chỉ cần chạy một
đoạn mã là có thể phá hủy chức năng mạng của công ty. Một Script Kiddies có thể không
nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy
nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống.
Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục
đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống.
2. Mối đe dọa có cấu trúc ( Structured threat)
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script
Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các
công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt động độc
lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạp nhằm xâm
nhập vào mục tiêu.
Động cơ của các cuộc tấn công này thì có rất nhiều. Một số yếu tố thường thấy có thể vì
tiền, hoạt động chính trị, tức giận hay báo thù. Các tổ chức tội phạm, các đối thủ cạnh
tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công
dạng structured threat. Các cuộc tấn công này thường có mục đích từ trước, như để lấy
được mã nguồn của đối thủ cạnh tranh. Cho dù động cơ là gì, thì các cuộc tấn công như
vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành
công có thể gây nên sự phá hủy cho toàn hệ thống.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 6
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
3. Mối đe dọa từ bên ngoài (External threat)
External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ
thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn
công như vậy.

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng
cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này
xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ
nhiều tiền và thời gian để ngăn ngừa.
4. Mối đe dọa từ bên trong ( Internal threat )
Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được
thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các
cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối
đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu
bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và
họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để
quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên
server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong
thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty.
Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong
khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các
phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập
vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn
giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured
internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài
nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất
cho mọi hệ thống.
II.KHÁI NIỆM VỀ BẢO MẬT
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 7
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
1. Khái Niệm
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái
niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc

tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần
thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.
2. Kiến Trúc Về Bảo Mật
Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia
tăng độ an toàn cho hệ thống:
 Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực
thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm.
 Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài
nguyên của hệ thống.
 Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm
không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền
trên mạng chỉ có thể được đọc bởi những nhóm được phép.
 Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự
thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông
điệp đã được truyền.
 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm
được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng
của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.
III.Các phương pháp xâm nhập hệ thống và phòng chống
A.Các phương pháp xâm nhập hệ thống:
1.Phương thức ăn cắp thống tin bằng Packet Sniffers
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 8
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên
mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting
network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua
mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công
cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có
thể truy xuất vào các thành phần khác của mạng.
2. Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương
trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP
spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-
force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,
cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.
3.Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc
Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để
gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm
các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả
năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S
vào một mục tiêu nào đó.
4.Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ
thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
5.Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví
dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng
của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 9
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của
công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.
6.Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một
hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về
mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ
như DNS queries, ping sweep, hay port scan.
7.Phương thức tấn công Trust exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với
mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với
hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần
theo quan hệ đó để tấn công vào bên trong firewall.
8.Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột
nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy
nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có
thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên
DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside
đến host inside.
9.Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những
cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP,
hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port
cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port
80, mail server bằng TCP port 25.
10.Phương thức tấn Virus và Trojan Horse
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành
Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương
trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 10
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game

đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse
sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi
trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address
book của user đó.
B. Các phương pháp phát hiện và ngăn ngừa xâm nhập:
1.Phương thức ăn cắp thống tin bằng Packet Sniffers
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ,
các kết nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
 Authentication
Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs).
Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number
( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng.
Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách
ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất.
Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin
đó cũng không có giá trị vì nó đã hết hạn.
 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.
Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng.
Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào
luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này không
làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh
hưởng của nó.
 Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên
mạng.
 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu
hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco
dùng giao thức IPSec để mã hoá dữ liệu.
2. Phương thức tấn công mật khẩu Password attack

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 11
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Phương pháp giảm thiểu tấn công password:
 Giới han số lần login sai
 Đặt password dài
 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn
như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa
3.Phương thức tấn công bằng Mail Relay
Phương pháp giảm thiểu :
 Giới hạn dung lương Mail box
 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho
SMTP server, đặt password cho SMTP.
 Sử dụng gateway SMTP riêng
4.Phương thức tấn công hệ thống DNS
Phương pháp hạn chế:
 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
 Cài đặt hệ thống IDS Host cho hệ thống DNS
 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
5.Phương thức tấn công Man-in-the-middle attack
Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker
có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
6.Phương thức tấn công để thăm dò mạng
Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có
thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó
cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.
NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.
7.Phương thức tấn công Trust exploitation
Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào
mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào
của mạng.

8.Phương thức tấn công Port redirection
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có
thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 12
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
9.Phương thức tấn công lớp ứng dụng
Một số phương cách để hạn chế tấn công lớp ứng dụng:
 Lưu lại log file, và thường xuên phân tích log file
 Luôn cập nhật các patch cho OS và các ứng dụng
 Dùng IDS, có 2 loại IDS:
• HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn
công lên server đó.
• NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy
có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát
cảnh báo, hay cắt session đó.
Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn
công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một
signature nào đó, nó sẽ phát cảnh báo.
10.Phương thức tấn Virus và Trojan Horse
Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn
cập nhật chương trình chống virus mới.
IV . SỰ CẦN THIẾT CỦA IDS
1 . Sự giới hạn của các biện pháp đối phó
Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó
vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ
thống vẫn có nguy cơ bị tấn công cao.
Firewall bảo vệ hệ thống
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên
ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. Nó hạn chế việc
truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 13
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
thống. Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy
nhiên Firewall cũng có những điểm yếu sau:
 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và
không thể chống lại sự đe dọa từ trong hệ thống.
 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể
cho phép việc thăm dò điểm yếu.
 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này
cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập
một cách tin cậy và loại bỏ được cơ chế firewall.
 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không
an toàn gia nhập hoặc rời khỏi hệ thống.
 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.
Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền
thông đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa công khai và
khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối, sự tin cậy và
toàn vẹn dữ liệu.
Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy
Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực.
Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả những hành động
của người dùng. PKI có vai trò như khung làm việc chung cho việc quản lý và xử lý các
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 14
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. Nó cũng tự động xử lý
để xác nhận và chứng thực người dùng hay ứng dụng. PKI cho phép ứng dụng ngăn cản
các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có
các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:
 Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng

chỉ không đồng nhất.
 Có quá ít ứng dụng có sử dụng chứng chỉ.
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng
không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được
định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác
định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
2. Những cố gắng trong việc hạn chế xâm nhập trái phép
Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô
lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng ta
an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận thấy
cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit
trail) với mọi hành động có liên quan đến bảo mật. Ngày nay, hầu hết các hệ điều hành,
ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra. Tư tưởng cơ bản là
nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi. Trong khi đó trong
thực tế, quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn, sức người
có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn. Ví dụ như vào
năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là AUDIT, có nhiệm vụ tự
động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn. Vào năm 1987, một dự án
được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện đọc
audit trail và tạo ra khuôn mẫu những hành động thông thường, sau đó gửi thông báo về
những hành động lệch so với khuôn mẫu đó. Trong suốt những năm đầu của thập kỷ 90,
cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự kiện có trong
audit trail.
Tuy nhiên, hầu hết các công ty không thể sử dụng được phương pháp phân tích log
này vì hai lý do chính. Thứ nhất là công cụ đó khá nặng, phụ thuộc vào khả năng hiểu
loại tấn công và điểm yếu của người dùng. Với sự tăng trưởng của số người dùng, hệ
điều hành, ứng dụng, cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 15
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ. Do đó, các tổ chức nhận ra rằng thao tác

viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và
duy trì đủ hiệu suất. Nửa cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng
tạo audit trail mới để quản lý, như router, network traffic monitor, và firewall. Tuy hệ
phương pháp IDS đã phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra: “Làm sao có
thể biết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi và phản ứng khi ta bị
tấn công?”
Scanner, các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ
hổng bảo mật trước khi bị tấn công. Chúng có thể làm được điều đó dựa trên việc tìm
khiếm khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, những
hệ thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung. Các công cụ này
có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cung
cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. Chúng có
thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của công
ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các scanner chỉ
báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ công.
Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành, server hay
ứng dụng mới vào mạng. Cũng như các công cụ kiểm tra biên bản, scanner và các công
cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt động của
con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức. Ta có một
chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó”. Một lợi ích
quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệch trong
bảo mật và biểu đồ thông tin. Nó có thể được sử dụng để xác định hiệu quả thực tế của
bảo mật và dự đoán hiện tại cũng như tương lai.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 16
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
CHƯƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
I .Tổng quan về IDS
A. Giới thiệu về IDS
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của
James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành

vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm
nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại
mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn
chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm
và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát
triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến
rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó,
Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS
tên là Wheel.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 17
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển
1. Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính
hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.
Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính
toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật
của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một kẻ tấn
công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là
một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ
chưa được cấp phát. Như đã đề cập ở trên, hệ thống phát hiện xâm nhập là hệ thống phần
mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu
hiệu xâm nhập.
 Network IDS hoặc NIDS
Là các hệ thống phát hiện tấn công, nó có thể bắt giữ các gói tin được truyền trên
các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín
hiệu.
 Host IDS hoặc HIDS

Được cài đặt như là một tác nhân trên máy chủ. Những hệ thống phát hiện xâm
nhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống để phát
hiện những hành động xâm nhập.
 Signature
Là những phần mà ta có thể thấy được trong một gói dữ liệu. Nó được sử dụng để
phát hiện ra một hoặc nhiều kiểu tấn công. Signature có thể có mặt trong các phần khác
nhau của một gói dữ liệu. Ví dụ ta có thể tìm thấy các tín hiệu trong header IP, header
của tầng giao vận (TCP, UDP header) hoặc header tầng ứng dụng. Thông thường, IDS ra
quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập. Các nhà cung cấp
IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra.
 Alert
Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp. Khi
IDS phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị bảo mật bằng alert.
Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều cách
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 18
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
khác. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảo
mật có thể xem lại.
 Log
o Thông thường, những thông tin mà IDS thu được sẽ lưu lại trong file.
Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân. Tốc độ lưu
lại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text.
 False Alarm
Là những thông báo đúng về một dấu giống dấu hiệu xâm nhập nhưng hành
động .
 Sensor
Là những thiết bị mà hệ thống phát hiện xâm nhập chạy trên nó bởi vì nó được sử
dụng như các giác quan trên mạng. Cũng tương tự như các sensor trong các tài liệu kỹ
thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu sắc, áp xuất... thì sensor ở đây sẽ
bắt các tín hiệu có dấu hiệu của xâm nhập bất hợp pháp.

Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. Ta có thể đặt ở một
hoặc nhiều nơi, nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external
hoặc cả 2). Ví dụ, nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có
một router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hay
firewall). Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi điểm
kết nối với Internet. Ta có thể hình dung qua hình vẽ sau:
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 19
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
2. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)
là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho
hệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thông bất
thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng
hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng.
- IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những
người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên
các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus
dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông
mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu
khác thường.
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng
để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải với
mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó. Một hệ
thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
 Tính chính xác (Accuracy): IDS không được coi những hành động thông thường
trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành
động thông thường bị coi là bất thường được gọi là false positive).
 Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái
phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép
phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo
[Ranum, 2000] là dưới 1 phút).

 Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép
nào (xâm nhập không bị phát hiện được gọi là false negative). Đây là một điều
kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn
công từ quá khứ, hiện tại và tương lai.
 Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công.
 Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu
nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ thống mà các sự
kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 20
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự
tăng trưởng của số lượng sự kiện.
3. Phân biệt những hệ thống không phải là IDS
Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát
hiện xâm nhập, không phải mọi thứ đều được qui vào mục này. Theo một cách riêng biệt
nào đó, các thiết bị bảo mật dưới đây không phải là IDS:
• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn
công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu
lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch
vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy
hiểm như virus, trojan horse, worm,...Mặc dù những tính năng mặc định có thể giống IDS
và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
• Tường lửa – firewall
• Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,..
B. Lợi ích của IDS:
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước.
Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc
tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai,

trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành
động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các
cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem
lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác
nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên
những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần
loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
C.Sự khác nhau giữa IDS và IPS
1. IDS (Intrusion Detection System )
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 21
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng
hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính,
phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn
công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm
nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ
chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào
của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm
nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất
cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là
một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp
để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định
cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến
mối đe doạ đều bị ngăn chặn.
2. IPS (phát hiện và ngăn chặn xâm nhập )
2.1 Nguyên ý hoạt động của hệ thống
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công
đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết
bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là

thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các
thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành
công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích
luồng dữ liệu, modul phát hiện tấn công, modul phản ứng.
• Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin
từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông
tin này được chuyển đến modul phát hiện tấn công.
• Modul phát hiện tấn công:
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 22
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công.
Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò
sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống,
tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương
pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công
nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của
mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công
không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật
các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các
hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc
tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ
lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành

động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có một số kỹ
thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các ức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự
bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt
động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu
hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập,
hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử
của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế
độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách
so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc
để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải
dừng lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động
của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 23
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả
trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin
tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các
cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra
các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự
lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai
làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu
nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống
chạy chuẩn xác hơn.)
• Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín

hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản
ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo
tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và
dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng
này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới
đây là một số kỹ thuật ngǎn chặn:
- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá
huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian
gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình
trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các
giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có trường thứ
tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn
công xảy ra nhanh thì rất khó thực hiện được phương pháp này.
- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một
gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là
an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình
lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các
chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người
quản trị.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 24
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm
được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin
log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông
tin giúp cho modul phát hiện tấn cônghoạtđộng.
2.2 Các kiểu hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.a) IPS ngoài
luồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ

liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ
liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này,
IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không
làm ảnh hưởng đến tốc độ lưu thông của mạng.
b)IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường
lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông. Điều
đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS
ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm
hơn.
C .Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những
đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa
đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh
mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính
của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ
thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an
toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới
thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên
sử dụng hệ thống IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ
thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ
liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×