Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.09 MB, 73 trang )

LỜI CẢM ƠN
————————
Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn,
giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp.
Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS. Đàm Quang Hồng
Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này.
Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn,
anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều
kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu thực tế quý báu đóng
góp vào quá trình phân tích hình thành nghiên cứu của tôi.
Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ
Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm
học vừa qua.
Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia
đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên
cứu của mình.
Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn
chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được
những đóng góp quý báu của thầy cô và các bạn.
TP. Hồ Chí Minh, tháng 6 năm 2012
Người thực hiện
Đinh Như Khoa
i
MỤC LỤC
ĐỀ MỤC TRANG
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iii
DANH MỤC CÁC BẢNG iv
DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ v
MỞ ĐẦU 1
Chương 1 3
TỔNG QUAN 3

1.1Lịch sử hệ thống phát hiện xâm nhập 3
1.2Các vấn đề giải quyết trong luận văn 7
1.3Các phương pháp nghiên cứu của luận văn 7
1.4Những đóng góp chính của luận văn 8
1.5Bố cục của luận văn 8
1.6Kết luận 9
2.1Hệ thống phát hiện xâm nhập 10
2.1.1Phân loại hệ thống phát hiện xâm nhập 10
2.1.2Mô hình và các kỹ thuật triển khai IDS 18
2.1.3Chính sách IDS 22
2.2Công cụ phát hiện xâm nhập mã nguồn mở OSSEC 23
HỆ QUẢN LÝ LUẬT TÍCH HỢP VỚI MÃ NGUỒN MỞ OSSEC VÀ CHỨC
NĂNG PHÁT HIỆN TẤN CÔNG DDoS 35
3.1Hệ quản lý luật cho OSSEC 35
3.1.1Cơ sở lý luận và thực tiễn 35
3.1.2Cách tiếp cận vấn đề 37
3.1.3Thiết kế cơ sở dữ liệu 38
3.1.4Các chức năng chính của hệ quản lý luật 39
3.1.5Giao diện của hệ quản lý luật 40
ii
3.2Chức năng phát hiện tấn công DDoS 42
3.2.1 Phân loại tấn công DDoS 42
43
3.2.1.1Tấn công làm cạn kiệt băng thông 43
3.2.1.2Tấn công làm cạn kiệt tài nguyên 45
3.2.2 Cơ sở lý luận và thực tiễn 47
3.2.3 Các thuật toán áp dụng cho chức năng phát hiện tấn công DDoS 50
3.2.4 Hiện thực các chức năng phát hiện DDoS 54
ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC 59
4.1Chức năng hỗ trợ giám sát hệ thống 59

60
4.2Chức năng hỗ trợ phát hiện tấn công DDoS 62
4.2.1 Quản lý cấu hình thông số IAD 62
63
4.2.2 Bảng danh sách địa chỉ truy cập mới nhất 63
64
4.2.3 Biểu đồ kết quả phân tích phát hiện tấn công DDoS 64
65
65
KẾT LUẬN 66
KIẾN NGHỊ CÁC HƯỚNG NGHIÊN CỨU 66
TIẾP THEO 66
TÀI LIỆU THAM KHẢO 67
iii
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
IDS Hệ thống phát hiện xâm nhập
HIDS Hệ thống phát hiện xâm nhập dựa trên
máy chủ
NIDS Hệ thống phát hiện xâm nhập dựa trên
mạng máy tính
Log Nhật ký truy nhập
File Tập tin
Registry Bản đăng ký hệ thống
Rootkit Chương trình có khả năng chiếm quyền
kiểm soát hệ thống
Signatures Dấu hiệu
Pattern Mẫu thử
TCP Giao thức điều khiển truyền vận
UDP Giao thức gửi gói tin cho người dùng
Blowfish Thuật toán mã hóa sử dụng khóa đối xứng

URL Universal Resource Locator
IAD Cơ sở dữ liệu lưu trữ địa chỉ IP
iv
DANH MỤC CÁC BẢNG
Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS 17
Bảng 2.2: Các tập tin định nghĩa luật trong OSSEC 33
v
DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ
Hình 1.1: Các dòng sản phẩm IDS của Cisco 4
Hình 1.2: Các dòng sản phẩm IDS của ISS 4
Hình 1.3: Các dòng sản phẩm IDS của Symatec 4
Hình 1.4: Các dòng sản phẩm IDS của Enterasys 5
Hình 2.1: Một số vị trí đặt IDS trong hệ thống mạng 19
Hình 2.2: Mô hình triển khai Host-based IDS 20
Hình 2.3: Mô hình triển khai Network-based IDS 21
Hình 2.4: Các thành phần hoạt động của OSSEC 25
Hình 2.5: Sơ đồ quá trình xử lý luật trong OSSEC 27
Hình 3.1: Giao diện người dùng OSSEC 36
Hình 3.2: Mô hình triển khai OSSEC 37
Hình 3.3: Cấu trúc cơ sở dữ liệu của hệ quản lý luật 38
Hình 3.4 : Danh sách luật của hệ thống 41
Hình 3.5: Giao diện chỉnh sửa, thêm mới luật 42
Hình 3.6: Phân loại các kiểu tấn công DDOS 43
Hình 3.7: Tiến trình lưu địa chỉ vào cơ sở dữ liệu 55
Hình 3.8: Tiến trình xóa địa chỉ hết hạn khỏi cơ sở dữ liệu 56
Hình 3.9: Quá trình phân tích tấn công DDOS 58
Hình 4.1: Giao diện bảng thông tin chính của hệ thống quản lý luật 60
Hình 4.2: Bảng thống kê các sự kiện 61
Hình 4.3: Danh sách các agent của hệ thống 61
Hình 4.4: Cấu hình thông số IAD 63

Hình 4.5: Bảng thông tin các IP truy cập hệ thống 64
Hình 4.6: Bảng thống kê các IP truy cập hệ thống lúc bình thường 65
Hình 4.7: Bảng thống kê các IP truy cập lúc bị tấn công 65
MỞ ĐẦU
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời
được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông.
Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta
đến với thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh
doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử
nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam.
Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại
mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm
hơn. Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào
các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin
riêng tư của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì
rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho
đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh
mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy
vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức
đặt lên hàng đầu.
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn
và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ
xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và
dịch vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế
sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ
hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức
mã hóa, và các mạng riêng ảo,…
Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các
phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp
này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa

2
được biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được
sẽ giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ
thống nhằm giảm thiểu những tấn công bất hợp pháp.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử
dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử
dụng để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết
về những gì đang thực sự xảy ra trong mạng. Các hệ thống IDS được chia thành các
loại sau:
Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để
phát hiện xâm nhập.
Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,
cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập.
Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn
chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2
(VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ
phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của
mình.
3
Chương 1
TỔNG QUAN
Trong chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm
nhập và hệ thống mã nguồn mở OSSEC. Đồng thời luận văn cũng trình bày
các phương pháp nghiên cứu và những đóng góp chính của luận văn. Bố cục
của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi
đi vào chi tiết.
1.1 Lịch sử hệ thống phát hiện xâm nhập
Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ
internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an
toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công

của hacker-những kẻ xâm nhập.
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ
thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất
thường và không hợp pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng
tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là
sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc
xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm
giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong
hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát.
Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên
vào năm 1980. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các
hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc
lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống
phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988. Cho
đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS
chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Vài năm sau đó,
4
Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp
IDS là Wheel Group. Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp
tục phát triển đến ngày nay.
Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản
IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000. HID (Host Intrusion
Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition
Hình 1.1: Các dòng sản phẩm IDS của Cisco
Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID
với công nghệ Gigabit
Hình 1.2: Các dòng sản phẩm IDS của ISS
Symantec bao gồm các sản phẩm ITA và NetPower
Hình 1.3: Các dòng sản phẩm IDS của Symantec
5

Enterasys với Dragon NID và Squire HID system
Hình 1.4: Các dòng sản phẩm IDS của Enterasys
Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu
hết các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần
cứng đã được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO. Đối
với các hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, đây
là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần cứng. Tuy nhiên đối
với các tổ chức có mô hình mạng nhỏ thì đây không phải là một giải pháp thực sự
kinh tế, vì chi phí cho các sản phẩm này khá cao.
Bên cạnh những dòng IDS dùng phần cứng, cũng có rất nhiều IDS dùng
phần mềm. Theo Insecure.org ( ) OSSEC là một số hệ
thống phát hiện xâm nhập bằng phần mềm có khả năng rất mạnh và được các nhà
cung cấp dịch vụ Internet hay các trung tâm dữ liệu sử dụng . OSSEC là một sản
phẩm IDS mã nguồn mở đã được hãng bảo mật TREND Micro mua lại, nó hoạt
động dựa trên các tập luật (rule) được định nghĩa với 15 mức độ ưu tiên khác nhau,
phân tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) và Bản đăng ký hệ
thống (registry) để theo dõi, thực thi các chính sách, phát hiện rootkit nhằm cảnh
báo và phản ứng tích cực.
Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm
IDS phần mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn
mở OSSEC. Bởi vì, có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng
với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công
nghệ thông tin và OSSEC có thể đáp ứng rất tốt cả hai yêu cầu này. Ngòai ra
OSSEC còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông
đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện
6
thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật các rule một cách
nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu
cầu của mình. Vì vậy OSSEC là phần mềm IDS mạnh mẽ và được dùng nhiều hiện
nay trên thế giới trong vấn đề phát hiện xâm nhập.

Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS
thành một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp
các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng
phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công
đó.
Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng
ngăn chặn hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực
hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở
vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.
Công cụ mã nguồn mở OSSEC đã được xây dựng và phất triển rất lâu, mục
đích là gọn nhẹ và hiệu quả, bên cạnh đó chủ yếu phục vụ cho người quản trị có am
hiểu về hệ thống rất cao. Các giao diện cho người dùng rất khó dùng và chỉ thể hiện
những lịch sử truy nhập dạng thô, và để cấu hình những rule mới hay chỉnh sửa phải
dùng lệnh rất dài để cấu hình trong hệ điều hành Linux hoặc chỉnh sửa các tập tin
XML được định nghĩa sẵn. Những khó khăn này làm cho hệ thống bớt hiệu quả bởi
người quản trị phải luôn xem lịch sử truy cập và phải tự phân tích rất nhiều, ngoài
ra việc chỉnh sửa hay thêm bớt các rule không được thuận tiện làm cho người quản
trị cảm thấy không thoải mái. Chính vì vậy, vấn đề cần thiết của việc xây dựng hệ
quản lý các luật của OSSEC một cách trực quan sẽ giúp cho người quản trị rất nhiều
trong quá trình khai thác các điểm mạnh của OSSEC.
7
1.2 Các vấn đề giải quyết trong luận văn
Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách
xây dựng một hệ thống quản lý có giao diện thân thiện, dễ sử dụng với những chức
năng cho phép tích hợp với hệ thống OSSEC. Hệ thống cho phép hiển thị các cảnh
báo dạng biểu đồ để người quản trị dễ giám sát hệ thống.
Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công DDoS
một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các
giải thuật phát hiện tấn công DDoS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ
phát hiện tấn công và giảm tỉ lệ cảnh báo giả.

Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống
quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo dõi và quản
lý chính xác hơn. Bên cạnh đó luận văn cũng tìm hiểu một số phương pháp để phát
hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng để người quản trị sớm
có những quyết định chống lại các tấn công nguy hiểm này.
1.3 Các phương pháp nghiên cứu của luận văn
Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ
phân tán của các tác giả trước đó. Ứng dụng những phương pháp phù hợp nhất cho
hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu. Một số phương
pháp được luận văn sử dụng bao gồm:
 Phương pháp theo dõi địa chỉ nguồn : Lữu trữ những địa chỉ đã truy cập để
phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ
hợp lệ hay không.
 Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới
hạn để xác định tấn công.
8
1.4 Những đóng góp chính của luận văn
Luận văn đã tìm hiểu và xây dựng một hệ thống quản trị các luật và tích hợp
với hệ thống OSSEC, cho phép cập nhật, chỉnh sửa các luật, theo dõi lịch sử truy
cập hệ thống trực quan dạng biểu đồ.
Luận văn đã tìm hiểu các phương pháp của các nghiên cứu trước đó. Chọn
lọc và ứng dụng các giải thuật phù hợp cho nghiên cứu của mình. Đồng thời luận
văn đề xuất một số phương pháp sau đây:
 Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ các địa chỉ
truy cập hệ thống. Nhưng không cần phải lưu các thông số như số lần truy cập của
địa chỉ cũng như số gói tin của địa chỉ truy cập.
 Dựa vào lý thuyết thuật toán CUSUM để xây dựng các thông số cần tính
toán nhằm đưa ra quyết định cảnh báo hoặc ngăn chặn khi có tấn công DDoS thông
qua các cấu hình của người quản trị.
1.5 Bố cục của luận văn

Luận văn gồm các phần sau.
• Mở đầu
• Chương 1: Tổng quan
Chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm
nhập và hệ thống mã nguồn mở OSSEC. Đồng thời luận văn cũng trình
bày các phương pháp nghiên cứu và những đóng góp chính của luận văn.
Bố cục của luận văn cũng được giới thiệu cho người đọc cái nhìn khái
quát trước khi đi vào chi tiết.
• Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở
OSSEC
Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm
nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập
bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do
9
cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát
hiện xâm nhập.
• Chương 3: Hệ thống quản lý luật tích hợp với mã nguồn mở
OSSEC và chức năng phát hiện tấn công DDoS
Đây là chương quan trọng nhất của luận văn. Trong chương này luận
văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát triển hệ
thống quản lý luật nhằm mang lại công cụ quản trị thuận tiện cho người
dùng. Bên cạnh đó luận văn cũng phát triển một chức năng nhằm phát
hiện sớm tấn công DDoS để cảnh báo đến người quản trị và đưa ra hướng
giải quyết nhằm ngăn chặn tấn công DDoS.
• Chương 4: Đánh giá kết quả đạt được
Trong chương này luận văn trình bày những kết quả thực nghiệm áp
dụng vào thực tế để phân tích dữ liệu và kết quả đạt được của hệ quản lý
luật và đặc biệt là kết quả thực tế trong quá trình phân tích tấn công DDoS
dựa trên cải tiến giải thuật CUSUM. Luận văn cũng trình bày kết quả
những cải tiến so với giải thuật CUSUM.

• Kết luận
Phần này tổng quát lại những đóng góp của luận văn, những kết
quả đạt được trong quá trình nghiên cứu của tác giả.
• Kiến nghị các hướng nghiên cứu tiếp theo
Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện
phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán.
1.6 Kết luận
Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các vấn đề luận
văn cần quan tâm. Chương này trình bày các phương pháp thực hiện của luận văn.
Bố cục luận văn cũng được giới thiệu cho người đọc cái nhìn tổng quát trước khi đi
sâu vào chi tiết.
10
Chương 2
HỆ THỐNG PHÁT HIỆN XÂM NHẬP MÃ
NGUỒN MỞ OSSEC
Trong chương này luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm
nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập bằng
phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải
hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm
nhập.
2.1 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập là một công cụ chủ yếu đóng góp vào bộ bảo
mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu
quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công
nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng một
cách hiệu quả. [3]
Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ
bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản
phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Vấn
đề là chọn lựa mô hình nào để triển khai cho phù hợp với nhu cầu thực tế.

2.1.1 Phân loại hệ thống phát hiện xâm nhập
2.1.1.1 Một số định nghĩa
Trước khi đi vào chi tiết của phát hiện xâm nhập, chúng ta cần có một số
định nghĩa liên quan đến bảo mật. Đây là các khái niệm thường được sử dụng nhất
trong lĩnh vực IDS.
11
IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần
mềm hoặc phần cứng hoặc kết hợp của cả hai được dùng để phát hiện các hành vi
xâm nhập vào mạng. Mục đích của nó là phát hiện và ngăn ngừa các hành động phá
hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn
công như sưu tập, quét các cổng. Tính năng chính của hệ thống này là cung cấp
thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo
cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công cụ
IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân
viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker). OSSEC là một
IDS mã nguồn mở phổ biến và được giới thiệu trong khóa luận này. Một IDS có
nhiều chức năng hay không là phụ thuộc vào sự phức tạp và tinh vi trong các thành
phần của nó. IDS appliances là sản phẩm kết hợp cả phần cứng và phần mềm, hầu
hết đều là các sản phẩm thương mại. Như đã đề cập ở trên, một IDS có thể sử dụng
kỹ thuật signature, anomaly-based hoặc cả hai.
Network-based IDS (NIDS)
NIDS dùng để bắt các gói tin từ môi trường mạng (cables hoặc wireless) để
so sánh dữ liệu thu thập được với cơ sở dữ liệu đã biết của các dấu hiệu tấn công
vào hệ điều hành và ứng dụng. Khi phát hiện được nguy cơ bị tấn công, NIDS có
thể phản ứng lại bằng cách log gói tin vào cơ sở dữ liệu, cảnh báo cho nhà quản trị
hoặc đưa vào firewall.
Host-based IDS (HIDS)
HIDS được cài đặt như một agent trên một host cụ thể. HIDS phân tích log
của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các

vi phạm bảo mật và các chính sách đã được đặt ra. Nếu thấy có vi phạm HIDS có
thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và
có thể ngừng hành động lại trước khi nó xảy ra.
12
Signatures
Signatrue(dấu hiệu) là một mẫu (pattern) nhận dạng có thể tìm thấy trong
một gói tin. Một signature được dùng để phát hiện ra một hoặc nhiều loại tấn công.
Ví dụ sự có mặt của “scripts/iisadmin” trong gói tin được gởi đến web server có thể
là một hành động tấn công.
Signature có thể hiện diện trong một số phần khác nhau của một gói tin phụ
thuộc vào ý đồ tấn công. Ví dụ có thể tìm thấy signature trong IP header, transport
layer header (TCP hoặc UDP header), application layer header hoặc trong phần
payload.
Thường thì IDS dựa vào signature để tìm ra hoạt động của người tấn công.
Một vài nhà cung cấp IDS yêu cầu phải cập nhật các signature mới trực tiếp từ nhà
cung cấp khi có một kiểu tấn công mới được tìm ra. Trong một số IDS khác, chẳng
hạn như Snort, ta có thể tự cập nhật các signature do mình tự định nghĩa, như vậy
người dùng có thể linh động hơn khi sử dụng.
Alerts
Alerts là bất kỳ các hình thức thông báo cho người dùng về một hoạt động
tấn công. Khi IDS phát hiện ra một kẻ tấn công, nó dùng các hình thức alert để
thông báo cho người quản trị bảo mật. Alerts có thể là cửa sổ pop-up, màn hình
console, gởi email … Alerts có thể được chứa trong file log hoặc database để được
sử dụng trong công tác phân tích của các chuyên gia bảo mật.
Logs
Các nhật ký thường được lưu vào tập tin. Mặc định OSSEC lưu trữ ở
/var/ossec/log. OSSEC có nhiều loại nhật ký khác nhau bao gồm nhật ký OSSEC,
nhật ký cảnh báo, nhật ký tường lửa, nhật ký phản ứng chủ động. OSSEC có công
cụ OSSEC-webui dùng để phân tích nhật ký.
False Alarm

False Alarm là những cảnh báo về một cuộc tấn công nhưng thực tế đó
không phải là hành động tấn công. Ví dụ như IDS phát hiện ra một cuộc tấn công
vào IIS server nhưng thực tế bên trong hệ thống mạng của bạn không hề có IIS
13
server Để tránh cảnh báo sai cần phải thay đổi và điều chỉnh các luật mặc định.
Trong một số trường hợp phải gở bỏ đi một số luật để tránh cảnh báo sai.
Sensor/Agent
Là một máy tính hoặc thiết bị mà trên đó đang chạy một hệ thống phát hiện
xâm nhập (IDS), nó được gọi là sensor vì nó được dùng để giám sát và phân tích các
hoạt động network. “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong
khi “Agent” thường được dùng cho dạng Host-base IDS/IPS.
2.1.1.2 Phân loại IDS
Nhìn chung có nhiều cách để phân loại IDS, tuy nhiên cách phân loại tổng
quát nhất vẫn là phân loại thành Host-based và Network-based.
Host-based IDS
HIDS là dạng IDS lấy thông tin cục bộ từ một host, nơi nó được cài đặt.
HIDS có thể được sử dụng trong một số dạng như dùng để theo dõi log (logfile
monitors), giám sát tính toàn vẹn (integrity monitors), phát hiện hiện xâm nhập ở
mức kernel (kernel module).
Logfile monitors - Đây là dạng IDS đơn giản nhất, thiết bị này sẽ cố gắng
phát hiện những sự xâm nhập bằng cách phân tích log các sự kiện của hệ thống.
Công nghệ HIDS bị giới hạn bởi hệ thống ghi log. Nếu ứng dụng không hỗ trợ hoặc
hỗ trợ giới hạn việc ghi log thì sẽ hạn chế khả năng hoạt động của HIDS rất nhiều.
Ngoài ra đối với hacker có kinh nghiệm thì có khả năng qua mặt hệ thống HIDS
bằng cách tạo nhiều sự kiện ghi log giả mạo (false positive) khiến quản trị viên tắt
bỏ alert hoặc thậm chí tắt bỏ cả HIDS trên một agent. Đối với hacker có kinh
nghiệm thì còn có một số lỗ hổng trong ứng dụng không ghi log và hacker có thể
khai thác. HIDS mà không có log thì sẽ không hoạt động đúng chức năng như đã
được thiết kế.
Công cụ giám sát log file nổi tiếng nhất là Simple Watcher (Swatch). Công

cụ này cho phép phát hiện những xâm nhập được phân tích từ log file dựa trên cấu
hình trong file script.
14
Integrity monitors - Công cụ giám sát tính toàn vẹn sẽ nhìn vào cấu trúc chủ
yếu để phát hiện sự thay đổi. Ví dụ như, một hệ thống giám sát tính toàn vẹn cơ bản
sử dụng một file hệ thống hoặc một khóa trong registry để ghi lại các thay đổi bởi
một kẻ xâm nhập.
Công cụ dùng để giám sát tính toàn vẹn phổ biến nhất là Tripwire
() (có cả phiên bản cho Linux và Windows), và AIDE là
một phiên bản phát triển trên nền của Tripwire. Các công cụ này đều hoạt động chủ
yếu dựa trên sự theo dõi bảng băm (hash) để kiểm tra tính toàn vẹn của tập tin.
Ngoài ra các công cụ này còn theo dõi một số thuộc tính như :
• Việc thêm, xóa và sửa đổi file
• Cờ trạng thái của file (hidden, read-only, archive, …)
• Thời gian truy cập cuối cùng
• Thời gian ghi cuối cùng
• Kích thước file
Lưu ý : Điểm mấu chốt khi triển khai các hệ thống này là phải thiết lập trước
một hệ thống thực sự an toàn (“known safe”) trước khi hệ thống kiểm tra sự toàn
vẹn hoạt động và được kết nối vào hệ thống mạng.
Kernel-based IDS - Các hệ thống kiểm tra ở mức kernel chủ yếu được phát
triển chủ yếu cho hệ điều hành Linux. Một số công cụ phổ biến như LIDS, Open
Wall. Đặc điểm của hệ thống dạng này là tăng cường bảo mật cho một số điểm yếu
còn thiếu sót của hệ thống hiện tại, khóa các truyền thông bất thường. Điểm đặc biệt
là nó có thể khóa một số quyền hạn của tài khoản root.
Network-based IDS
Network IDS có thể được phân chia thành 2 loại : signatured-based (dựa vào
các dấu hiệu nhận dạng được định nghĩa trước) và anomaly-based (dựa vào các dấu
hiệu bất thường). Ngoài ra còn có các hệ thống phát hiện xâm nhập “lai” (Hybrid
IDS) là sự kết hợp ưu điểm của mỗi loại IDS. Trong thực tế, các sản phẩm NIDS

thương mại hiện đại đều sử dụng một số kỹ thuật của anomaly-based để tăng cường
15
cho cấu trúc chính của nó là signature-based engine. Một số dòng sản phẩm tiêu
biểu như ISS RealSecure, Cisco IDS, và Enterasys Dragon.
Signature matchers - Giống như các phầm mềm quét virus truyền thống,
phần lớn các IDS đều cố gắng phát hiện tấn công dựa trên cơ sở dữ liệu về các dấu
hiện của các tấn công. Ví dụ như OSSEC là một signature-based IDS miễn phí, chạy
được trên rất nhiều hệ điều hành.
Bởi vì OSSEC là một phần mềm mã nguồn mở nên nó có một tiềm năng phát
triển cơ sở dữ liệu signature rất nhanh từ cộng đồng bảo mật rất lớn trên thế giới.
Anomaly detectors - Phát hiện dấu hiệu bất thường (anomaly detection) liên
quan đến việc thiết lập một nền móng cơ bản của một hệ thống bình thường (normal
system) hoặc là các hoạt động trên mạng (network activity) và sau đó cảnh báo cho
cho chúng ta khi có những hoạt động bất thường xảy ra. Tuy nhiên kỹ thuật này chỉ
hoạt động tốt trên môi trường mạng ít thay đổi, còn trong một số mạng có cấu trúc
đặc biệt như mạng quân đội hoặc mạng giao tiếp tình báo thì kỹ thuật này sẽ cho
những cảnh báo sai. Trong lĩnh vực anomaly-based, người ta áp dụng một số kỹ
thuật của trí tuệ nhân tạo (Artificial Intelligence - AI), độ chính xác của nó đang
được nghiên cứu.
2.1.1.3 So sánh HIDS và NIDS
Trong phần trước đã nói sơ lược về khái niệm Host-based IDS (HIDS) và
Network-based IDS (NIDS). Trong phần này sẽ cho chúng ta cái nhìn cụ thể về
những điểm mạnh, yếu của chúng. Như đã nói ở trên, NIDS đôi khi được coi như
một sniffer trong mạng, còn HIDS thường làm những công việc như phân tích log
(log analyzer), kiểm tra tính toàn vẹn của hệ thống, …. Tuy nhiên có một điểm
chung của các IDS là bản thân nó không tự chống các cuộc tấn công hoặc ngăn chặn
những khai thác lỗi thành công. Hiện nay sự phát triển mới của IDS là hệ thống
ngăn chặn xâm nhập (Intrusion Prevention System - IPS) đã có thể thực hiện nhiều
vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra, thậm chí có thể tấn
công ngược lại đối phương. Thực tế thì IDS chỉ cho chúng ta biết mạng đang bị

16
nguy hiểm và giá trị chính của nó là cho biết điều gì sắp xảy ra, giúp cho người
quản trị có những chính sách hợp lý cho mạng và cho host.
Sự khác nhau chủ yếu giữa HIDS và NIDS là nơi mà nó sẽ tìm kiếm dữ liệu
để phát hiện xâm nhập. NIDS nhìn vào toàn cảnh luồng dữ liệu trên mạng, trong khi
đó HIDS quan sát các host, hệ điều hành và các hoạt động của ứng dụng. Như vậy
NIDS phát hiện ra những cuộc tấn công tiềm năng, trong khi đó HIDS chỉ phát hiện
những cuộc tấn công đã thành công. Bởi vậy có thể nói rằng NIDS mang tính tiên
phong (proactive) hơn so với HIDS. Tuy nhiên HIDS lại hoạt động hiệu quả hơn
trong môi trường chuyển mạch, mã hóa và tốc độ cao (high-traffic environment),
trong khi đó NIDS rất khó hoạt động trong môi trường này.
Tóm lại, để lựa chọn công nghệ IDS thích hợp cần phải dựa vài chính sách
IDS đã đề cập ở trên và có thể dựa vào một phương pháp thống kê gọi là Bayesian
analysis.
Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS[3]
Chức năng HIDS NIDS Các đánh giá
Bảo vệ trong
mạng LAN
**** ****
Cả hai đều bảo vệ bạn khi trong
mạng LAN
Bảo vệ ngoài
mạng LAN
**** - Chỉ có HIDS
Dễ dàng cho
việc quản trị
**** ****
Tương đương như nhau xét về bối
cảnh quản trị chung
Tính linh

hoạt
**** ** HIDS là hệ thống linh hoạt hơn
Giá thành *** *
HIDS là hệ thống ưu tiết kiệm hơn
nếu chọn đúng sản phẩm
Dễ dàng
trong việc bổ
sung
**** **** Cả hai tương đương nhau
Đào tạo ngắn **** ** HIDS yêu cầu việc đào tạo ít hơn
17
hạn cần thiết NIDS
Tổng giá
thành
*** ** HIDS tiêu tốn của bạn ít hơn
Băng tần cần
yêu cầu trong
LAN
0 2
NIDS sử dụng băng tần LAN rộng,
còn HIDS thì không
Network
overhead
1 2
NIDS cần 2 yêu cầu băng tần mạng
đối với bất kỳ mạng LAN nào
Băng tần cần
yêu cầu
(Internet)
** **

Cả hai đều cần băng tần Internet để
cập nhật kịp thời các file mẫu
Các yêu cầu
về cổng mở rộng
- ****
NIDS yêu cầu phải kích hoạt mở
rộng cổng để đảm bảo lưu lượng LAN
của bạn được quét
Chu kỳ nâng
cấp cho các
client
**** -
HIDS nâng cấp tất cả các client với
một file mẫu trung tâm
Khả năng
thích nghi trong
các nền ứng
dụng
** ****
NIDS có khả năng thích nghi trong
các nền ứng dụng hơn
Chế độ quét
thanh ghi cục bộ
**** -
Chỉ HIDS mới có thể thực hiện các
kiểu quét này
Bản ghi *** ***
Cả hai hệ thống đề có chức năng
bản ghi
Chức năng

cảnh báo
*** ***
Cả hai hệ thống đều có chức năng
cảnh báo cho từng cá nhân và quản trị
viên
Quét PAN **** - Chỉ có HIDS quét các vùng mạng
18
cá nhân của bạn
Loại bỏ gói
tin
- ****
Chỉ các tính năng NIDS mới có
phương thức này
Kiến thức
chuyên môn
*** ****
Cần nhiều kiến thức chuyên môn
khi cài đặt và sử dụng NIDS đối với
toàn bộ vấn đề bảo mật mạng của bạn
Quản lý tập
trung
** *** NIDS có chiếm ưu thế hơn
Khả năng vô
hiệu hóa các hệ
số rủi ro
* ****
NIDS có hệ số rủi ro nhiều hơn so
với HIDS
Khả năng cập
nhật

*** ***
Rõ ràng khả năng nâng cấp phần
mềm là dễ hơn phần cứng. HIDS có thể
được nâng cấp thông qua script được
tập trung
Các nút phát
hiện nhiều đoạn
mạng LAN
**** **
HIDS có khả năng phát hiện theo
nhiều đoạn mạng toàn diện hơn
Theo bảng phân tích so sánh 2.1 giữa hai mô hình, mỗi mô hình triển khai
đều có ưu và nhược điểm, vì vậy tùy thuộc vào mục đích và quy mô mà chúng ta
chọn mô hình triển khai cho phù hợp.
2.1.2 Mô hình và các kỹ thuật triển khai IDS
Phụ thuộc vào mô hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí. Tùy
thuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngoài, hoặc cả
hai. Ví dụ, nếu cần phát hiện một tấn công từ bên ngoài, có một router kết nối ra
Internet, thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa. Nếu bạn có
nhiều đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kết nối đó. Tuy nhiên
19
nếu cần phát hiện các nguy cơ từ bên trong, tốt nhất cần đặt IDS tại mỗi phân đoạn
mạng (network segment).
Hình 2.1 thể hiện một số vị trí cần đặt IDS, IDS được đặt ở phía sau các
firewall và router.
Hình 2.1: Một số vị trí đặt IDS trong hệ thống mạng
2.1.2.1 Triển khai Host-based IDS
HIDS có hai điểm khác biệt khi triển khai so với NIDS. HIDS chỉ theo dõi
được host mà nó đang được cài đặt và card mạng hoạt động ở trạng thái bình
thường là non-promiscuous (hay còn gọi là trạng thái active).

Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC

Trích đoạn

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về