Tải bản đầy đủ (.doc) (113 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Phát hiện tấn công bằng phân tích hoạt động mạng ứng dụng bản đồ tự tổ chức (SOM)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.46 MB, 113 trang )

- i -
LỜI CÁM ƠN
Lời đầu tiên tôi xin cám ơn chân thành và sâu sắc nhất đến Thầy TS. TRỊNH
NGỌC MINH, Thầy đã dành rất nhiều thời gian hướng dẫn tôi một cách tận tâm,
sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về luận văn này.
Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy
Cô Trường Đại Học Công Nghệ Thông Tin đã truyền đạt nhiều kiến thức quý báu
cho tôi trong suốt quá trình học tập tại đây.
Xin gởi lời cám ơn đến Thầy GS. TSKH HOÀNG VĂN KIẾM, Thầy TS. ĐỖ
VĂN NHƠN đã có những góp ý hết sức quý báu cho bản luận văn này.
Xin cám ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động
viên trong suốt thời gian qua. Xin cám ơn Thầy ThS. HUỲNH NGỌC TÍN, một
người bạn, đã góp ý rất nhiều cho luận văn.
Cám ơn các anh/chị Quản trị mạng Trường Đại Học Công Nghệ Thông Tin
đã tạo điều kiện tốt nhất cho chúng tôi trong suốt gần ba năm học tập tại đây.
Cuối cùng xin cám ơn Gia Đình, Dì Năm, Má, và bé Rô Be (Anh Tuấn) luôn
luôn động viên tôi trong những lúc khó khăn nhất.
TP. Hồ Chí Minh, tháng 10 – 2007
TRẦN NGỌC THANH
- ii -
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của
Thầy TS. TRỊNH NGỌC MINH. Các kết quả nêu trong luận văn là hoàn toàn trung
thực và chưa được công bố trong bất kỳ một công trình nào khác.
TRẦN NGỌC THANH
- iii -
MỤC LỤC
LỜI CÁM ƠN i
LỜI CAM ĐOAN ii
MỤC LỤC iii
DANH MỤC CÁC TỪ VIẾT TẮT iv


DANH MỤC CÁC HÌNH v
DANH MỤC CÁC BẢNG vi
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN 2
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN
CÔNG TRÊN MẠNG 6
CHƯƠNG 3: XÂY DỰNG ĐẶC TRƯNG TRÊN MẠNG 21
CHƯƠNG 4: BẢN ĐỒ TỰ TỔ CHỨC 46
CHƯƠNG 5: THIẾT KẾ VÀ CÀI ĐẶT CHƯƠNG TRÌNH 54
CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 66
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 91
TÀI LIỆU THAM KHẢO 93
WEBSITE THAM KHẢO 94
PHỤ LỤC 95
A. KỸ THUẬT BẮT GÓI DỮ LIỆU TRÊN MẠNG 95
B. GIAO THỨC TRÊN MẠNG 101
C. MỘT SỐ TẤN CÔNG DOS VÀ DÒ TÌM THÔNG TIN 106
- iv -
DANH MỤC CÁC TỪ VIẾT TẮT
IDS : Intrusion Detection System
DoS : Deny of Service
DDoS : Distributed Deny of Service
SOM : Seft-Organizing Map
TCP/IP : Transmission Control Protocol/Internet Protocol).
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
OSI : Open Systems Interconnection
U2R : User to Root
R2L : Remote to Local
- v -

DANH MỤC CÁC HÌNH
- vi -
DANH MỤC CÁC BẢNG
- 1 -
MỞ ĐẦU
Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho
con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ
khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách
thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập.
Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,
với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương
pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi
ngày một nhiều.
Luận văn được phát triển tiếp theo những thành công, cũng như hạn chế của
những đề tài [5], [6], [11], [12] trước đó, với kỹ thuật phát hiện tấn công, xâm nhập
dựa vào khai thác dữ liệu (data mining). Phương pháp này có khả năng phát hiện
tấn công, xâm nhập, virus dạng hướng thời gian, diễn ra nhanh và khá chính xác mà
không cần mẫu tấn công đã biết. Chúng không loại trừ phương pháp nhận dạng tấn
công dựa vào mẫu tấn công đã biết truyền thống, mà chỉ thêm vào một kênh hữu ích
cho người quản trị mạng biết được những tấn công, bất thường đang diễn ra trên hệ
thống mạng của mình.
Luận văn đã xây dựng và triển khai thực nghiệm với những phần như bắt gói
dữ liệu trên mạng, xây dựng và gán trọng số cho các đặc trưng, huấn luyện dữ liệu,
dò tìm tấn công offline và online.
Với những thành công trên và mặc dù đã rất cố gắng thì luận văn cũng còn
nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thời gian
tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này. Rất mong sự góp ý của
Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu.
- 2 -
CHƯƠNG 1: TỔNG QUAN

1.1. Giới thiệu
Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng
07/2007 đã có hơn 480 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụ
hướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâu
máy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh
(hình 1.2) [9]; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm
hơn bao giờ hết. Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứu
nhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID
(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm
tổ chức đều đặn, và lần thứ 10 diễn ra tại Queensland, Australia vào tháng 09-2007
[W2] (lần 9 tại Hamburg, Germany, ngày 20 đến 22/09/2006).
Hình 1.1. Tình hình phát triển số lượng máy tính trên Internet.
- 3 -
Hình 1.2. Malware mới xuất hiện mỗi tháng trong năm 2006.
Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúp
các doanh nghiệp được bảo mật hơn [1], [2]. Các nghiên cứu này cho thấy bảo mật,
phòng chống tấn công, xâm nhập ở Việt Nam chưa cao. Vì vậy, bảo mật hệ thống
máy tính ở Việt Nam cần được quan tâm nhiều hơn. Những hệ thống bảo mật nên
thiết kế triển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát
hiện tấn công, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn
vẹn, sẵn sàng, và bảo mật cho hệ thống mạng.
1.2. Mục tiêu nghiên cứu của luận văn
Luận văn tập trung nghiên cứu và xây dựng một ứng dụng với phương pháp
tiếp cận là phát hiện tấn công bằng phân tích và nhận biết những hoạt động bất
thường trên mạng ứng dụng bản đồ tự tổ chức (SOM). Phương pháp này có khả
năng nhận dạng tấn công hướng thời gian, diễn ra nhanh mà không dựa vào các mẫu
tấn công đã biết như phương pháp truyền thống.
- 4 -
1.3. Giới thiệu các chương mục của luận văn
Chương 1: Tổng quan

Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu và
những đóng góp của luận văn.
Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng
Chương 2 trình bày các loại và phương pháp phát hiện tấn công, xâm nhập,
trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật phát hiện
tấn công, xâm nhập dựa vào học giám sát và học không giám sát trong khai thác dữ
liệu. Thiết kế các vị trí đặt hệ thống phát hiện tấn công, xâm nhập. Đồng thời
chương này cũng trình bày các kỹ thuật tấn công, xâm nhập.
Chương 3: Xây dựng đặc trưng trên mạng
Chương 3 giới thiệu và đánh giá phương pháp xây dựng đặc trưng từ Wenke
Lee, Salvatore J. Stolfo [11]. Đề xuất bộ đặc trưng mới phù hợp với việc nhận dạng
tấn công theo thời gian thực. Xây dựng cũng như chuẩn hóa các đặc trưng này.
Chương này còn đề xuất phương pháp gán trọng số cho các đặc trưng để giảm tỷ lệ
cảnh báo sai.
Chương 4: Bản đồ tự tổ chức
Vì luận văn ứng dụng bản đồ tự tổ chức (SOM) nên chương này sẽ trình bày
thuật toán SOM, các hàm tốc độ học, hàm lân cận, biểu diễn trực quan trên SOM.
Và trình bày phương pháp phát hiện tấn công ứng dụng SOM.
Chương 5: Thiết kế và cài đặt chương trình
Chương này thiết kế và cài đặt chương trình phát hiện tấn công, xâm nhập
hướng thời gian, diễn ra nhanh trên mạng theo thời gian thực. Đề xuất việc xây
- 5 -
dựng các phân hệ chương trình như bắt gói dữ liệu, xây dựng đặc trưng, chuẩn hóa,
huấn luyện SOM, dò tìm tấn công,…
Chương 6: Thực nghiệm và đánh giá
Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâm
nhập hướng thời gian, diễn ra nhanh với một số cuộc tấn công thử nghiệm. Trình
bày phương pháp tìm ngưỡng cảnh báo phù hợp để cân bằng giữa tỷ lệ cảnh báo sai
và bỏ sót cảnh báo khi có tấn công. Ứng dụng ngưỡng cảnh báo đề xuất vào thực
nghiệm.

Chương 7: Kết luận và hướng phát triển
1.4. Những đóng góp của luận văn
- Cải tiến bộ đặc trưng của Wenke Lee, Salvatore J. Stolfo [11] đề xuất, để mô
hình hệ thống mạng tốt hơn, và có khả năng nhận dạng tấn công theo thời
gian thực.
- Đưa ra phương pháp, thuật toán xây dựng, gán trọng số các đặc trưng để
giảm tỷ lệ cảnh báo sai. Luận văn cũng đã khắc phục được hạn chế từ
phương pháp phát hiện tấn công do Aykut Oksuz [5] đề xuất.
- Đưa ra phương pháp để tìm ngưỡng cảnh báo phù hợp và ứng dụng ngưỡng
này vào thực nghiệm.
- Cài đặt khá hoàn chỉnh chương trình phát hiện tấn công bằng ngôn ngữ C# từ
bắt gói dữ liệu mạng, tạo vectơ đặc trưng, chuẩn hóa dữ liệu, huấn luyện bản
đồ tự tổ chức (SOM), vẽ bản đồ, cho tới khâu dò tìm tấn công theo thời gian
thực trên mạng.
- Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các kỹ
thuật tấn công trên mạng.
- 6 -
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT
HIỆN TẤN CÔNG TRÊN MẠNG
Chương 2 trình bày các loại và phương pháp phát hiện tấn công, xâm nhập,
trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuật phát hiện tấn
công, xâm nhập dựa vào học giám sát và học không giám sát trong khai thác dữ
liệu. Đồng thời chương này cũng trình bày các kỹ thuật tấn công, xâm nhập.
Ghi chú: trong chương này và các chương sau để đơn giản ta gọi “hệ thống
phát hiện tấn công, xâm nhập” là IDS.
2.1. Các loại IDS
Tùy vào việc quan sát và nơi đặt IDS mà hình thành nên những loại IDS
khác nhau:
- IDS đặt tại máy tính bằng việc quan sát các tập tin log, system calls,
sử dụng CPU, bộ nhớ, ổ cứng, được gọi là Host-based IDS.

 Ưu điểm: quan sát được những gì đang thực sự diễn ra trên máy
tính.
 Hạn chế: không biết được trạng thái hoạt động của toàn mạng.
Cũng như nếu quan sát dựa vào log file thì không thể phát hiện xâm
nhập theo thời gian thực.
- IDS đặt tại một đoạn mạng và quan sát các gói dữ liệu mạng, các kết
nối mạng,… thì được gọi là Network-based IDS.
 Ưu điểm: quan sát được những trao đổi, các kết nối mạng,…
- 7 -
 Hạn chế: khó quan sát được nội dung các gói dữ liệu mạng đã
được mã hóa, đồng thời cũng không thể biết được những gì đang diễn
ra tại các máy tính trong mạng.
Dưới đây là sơ đồ thiết kế vị trí đặt IDS:
Hình 2.3. Sơ đồ tổng thể vị trí đặt IDS.
Tùy theo phương pháp phát hiện tấn công, xâm nhập mà có thể phân hai loại
Host-based IDS và Network-based IDS ra những loại nhỏ hơn. Phương pháp truyền
- 8 -
thống về phát hiện tấn công, xâm nhập dựa trên việc lưu lại các mẫu đã biết của các
cuộc tấn công, chúng so sánh các đặc trưng kết nối mạng với mẫu tấn công để phát
hiện ra tấn công, xâm nhập. Phương pháp này gọi là Signature-Based IDS. Một ứng
dụng mã nguồn mở nổi tiếng về IDS dạng này là Snort (tham khảo tại trang

Signature-Based IDS có ưu điểm và hạn chế sau:
 Ưu điểm: nhận biết khá chính xác các loại tấn công, xâm nhập đã
biết được chữ ký (signature).
 Hạn chế: không thể phát hiện được các tấn công, xâm nhập chưa
biết được chữ ký. Thậm chí nếu mẫu mới về tấn công được phát hiện,
thì những mẫu này phải được cập nhật bằng tay vào hệ thống.
Do hạn chế của phương pháp phát hiện tấn công, xâm nhập dựa trên
signature, phương pháp dựa trên kỹ thuật khai thác dữ liệu (data mining) đã được

nghiên cứu phát triển.
- 9 -
Hình 2.4. Vai trò của Network IDP (Intrusion Detection and Prevention) trong mô hình
phòng thủ sáu lớp.
Một hệ thống mạng muốn an toàn, bảo mật cần phải được bảo vệ bằng nhiều
tầng lớp, trong đó hệ thống phát hiện tấn công, xâm nhập đóng một vai trò rất quan
trọng.
2.2. Ứng dụng khai thác dữ liệu để phát hiện tấn công, xâm nhập
Có thể phát hiện tấn công, xâm nhập dựa vào tập dữ liệu huấn luyện được
gán nhãn, dạng này gọi là misuse detection. Và học từ tập dữ liệu huấn luyện được
gán nhãn gọi là học giám sát (học có Thầy, có chuyên gia).
Hoặc phát hiện tấn công dựa vào gom nhóm tập dữ liệu bình thường không
gán nhãn, phương pháp này gọi là anomaly detection. Và việc học từ tập dữ liệu
không gán nhãn gọi là học không giám sát.
Hình 2.5. Sự khác nhau giữa Misuse Detection và Anomaly Detection.
- 10 -
2.2.1. Misuse IDS
Kỹ thuật phát hiện được xây dựng dựa trên các mẫu tấn công thông qua việc
học từ dữ liệu được gán nhãn.
Ở hình 2.4, đầu tiên dữ liệu được thu thập từ mạng được đưa sang bộ phân
tích và gán nhãn dữ liệu bình thường hay tấn công, xâm nhập bởi các chuyên gia.
Sau khi dữ liệu được gán nhãn sẽ đưa vào tập dữ liệu huấn luyện. Thuật toán máy
học sẽ sinh ra tập luật từ dữ liệu huấn luyện. Cuối cùng bộ phân lớp sẽ sử dụng tập
luật này phân lớp các dữ liệu kết nối mạng mới. Nếu có lớp được phân là lớp tấn
công, xâm nhập thì đưa ra cảnh báo thích hợp tương ứng [6].

Hình 2.6. Quy trình phát hiện xâm nhập mạng dựa vào tập dữ liệu gán nhãn.
Ưu điểm và hạn chế của Misuse IDS:
- 11 -
 Ưu điểm: phân loại khá chính xác những loại tấn công, xâm nhập đã có

trong tập dữ liệu huấn luyện.
 Hạn chế: không thể phát hiện xâm nhập nếu chúng chưa xảy ra trong
tập dữ liệu huấn luyện. Và khi tập dữ liệu huấn luyện lớn thì việc gán
nhãn là một công việc rất khó khăn.
2.2.2. Anomaly-Based IDS
Kỹ thuật phát hiện được xây dựng dựa trên các mẫu bình thường thông qua
việc học không giám sát. Kỹ thuật này có khả năng phát hiện ra các tấn công, xâm
nhập, virus hướng thời gian mới, và có tên gọi là hệ thống phát hiện tấn công, xâm
nhập dựa vào bất thường (Anomaly-Based IDS). Trong quá trình dò tìm tấn công
với kỹ thuật Anomaly-Based IDS các mẫu dữ liệu được so sánh với các mẫu bình
thường đã được học trước đó, nếu vượt quá một ngưỡng cho trước thì mẫu này xem
là mẫu tấn công.
Không giống như phương pháp học giám sát, phương pháp này có khả năng
học từ tập dữ liệu huấn luyện không gán nhãn.
Ở hình 2.5, đầu tiên dữ liệu thu thập từ mạng đưa vào tập dữ liệu huấn luyện,
sau đó tập dữ liệu này được gom cụm bởi thuật toán gom cụm. Vectơ trọng số của
các cụm được gán nhãn bởi quá trình gán nhãn. Rất nhiều phương pháp có thể được
ứng dụng tại quá trình này, một hướng tiếp cận để gán nhãn trung tâm của cụm là
chọn một nhóm mẫu của dữ liệu từ cụm này ngẫu nhiên và cụm này được gán nhãn
với kiểu chính của mẫu. Cuối cùng, bộ phân lớp dùng các vectơ trọng số được gán
nhãn để phân lớp kết nối mạng mới [6].
- 12 -
Hình 2.7. Quy trình phát hiện xâm nhập dựa vào tập dữ liệu không gán nhãn.
Ưu điểm và hạn chế của Anomaly-Based IDS:
 Ưu điểm: tập dữ liệu huấn luyện không cần gán nhãn. Có khả năng
nhận biết các dạng tấn công, xâm nhập chưa biết.
 Hạn chế: những lúc trạng thái mạng bất thường nhưng chưa hẳn là đang
bị tấn công. Nhưng cảnh báo ở những trường hợp này cho người quản
trị mạng biết cũng rất tốt. Tuy nhiên, một hạn chế nữa của phương pháp
này khi hệ thống mạng bình thường, nhưng những tình huống bình

thường này chưa được học trong quá trình huấn luyện sẽ dẫn đến cảnh
báo sai.
Mặc dù phương pháp anomaly-based IDS có hạn chế, nhưng chính phương
pháp này giải quyết được hạn chế của phương pháp học giám sát là sử dụng tập dữ
liệu huấn luyện không cần gán nhãn. Và cũng giải quyết được hạn chế của việc dò
tìm xâm nhập dựa vào mẫu xâm nhập đã biết là có khả năng nhận dạng tấn công
mới. Vì trên thực tế, khi mà hệ thống mạng phát triển nhanh và ngày càng nhiều các
kỹ thuật tấn công, xâm nhập, sâu máy tính, virus,… mới, thì rất khó để có được một
- 13 -
tập dữ liệu được gán nhãn đủ lớn để mô tả các kết nối mạng bình thường và tấn
công, xâm nhập.
2.3. Hành động của IDS
Sau khi các hệ IDS đã phát hiện ra tấn công, xâm nhập thì có một trong hai
hành động sau đây:
- Gởi tín hiệu đến firewall để ngăn chặn tấn công, hoặc gởi tín hiệu đến switch
để chuyển port nơi phát sinh ra tấn công vào VLAN riêng để xử lý. Trường
hợp này gọi là hệ thống phát hiện và ngăn chặn xâm nhập.
- Chỉ đưa ra cảnh báo cho người quản trị mạng xử lý.
2.4. Kỹ thuật tấn công, xâm nhập
Có rất nhiều kỹ thuật để tấn công vào hệ thống mạng như: Trojans,
backdoor, sniffers, exploits, buffer overflows, SQL injection, Deny of Service
(DoS),… Theo [8] hầu hết các công cụ xâm nhập thường khai thác các điểm yếu từ
các nơi sau:
- Hệ điều hành: Nhiều người quản trị mạng cài đặt hệ điều hành cấu hình mặc
định và không cập nhật các bản vá lỗi. Rất nhiều lỗ hổng tiềm tàng ở đây.
- Ứng dụng: rất khó khăn để kiểm tra hết các điểm yếu bảo mật của các ứng
dụng. Có nhiều cách để khai thác tấn công các lỗi bảo mật ứng dụng.
- Tính năng nâng cao chương trình: Nhiều chương trình có nhiều tính năng
nâng cao mà người dùng ít sử dụng tới. Đây cũng là nơi dễ lợi dụng để khai
thác tấn công. Ví dụ: Macro trong Microsoft Word, Excel là nơi có thể chứa

các đoạn mã độc hại.
- Cấu hình sai: hệ thống có thể bị cấu hình sai, hay cấu hình ở mức bảo mật
thấp nhất nhằm tăng tính dễ sử dụng cho người dùng.
- 14 -
Mục đích kẻ tấn công là làm sao để khai thác một trong bốn đặc tính về bảo
mật:
- Tính bí mật.
- Tính xác thực.
- Tính toàn vẹn.
- Tính sẵn sàng.
Dựa vào hành động của tấn công mà có thể phân tấn công ra làm 2 loại là:
chủ động (active attack), bị động (passive attack):
- Active attack: thay đổi hệ thống, mạng khi tấn công làm ảnh hưởng đến tính
toàn vẹn, sẵn sàng, và xác thực của dữ liệu.
- Passive attack: cố gắng thu thập thông tin từ hệ thống, mạng làm phá vỡ tính
bí mật dữ liệu.
Dựa vào nguồn gốc tấn công có thể phân loại tấn công làm 2 loại: tấn công
từ bên trong, và tấn công từ bên ngoài:
- Tấn công từ bên trong: thường người tấn công ở ngay trong hệ thống mạng.
Người sử dụng muốn truy cập, lấy thông tin nhiều hơn quyền cho phép.
- Tấn công từ bên ngoài: tấn công từ bên ngoài Internet hay các kết nối truy
cập từ xa.
Có 5 pha (phase) tấn công, xâm nhập mà các kẻ tấn công thường dùng:
- 15 -
Hình 2.8. Năm pha tấn công, xâm nhập.
Pha 1: Khảo sát thu thập thông tin
Thu thập thông tin về nơi cần tấn công như phát hiện các host, địa chỉ IP, các
dịch vụ mạng.
Pha 2: Dò tìm
Sử dụng các thông tin thu thập được từ pha 1 để sử dụng tìm kiếm thêm

thông tin lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường được sử dụng
cho quá trình này là: các công cụ dùng quét cổng, quét dãy địa chỉ IP, dò tìm lỗ
hổng,…
Khảo sát thu thập thông tin
(Reconnaissance)
Dò tìm
(Scanning)
Xâm nhập
(Gaining Access)
Duy trì xâm nhập
(Maintaining Access)
Che đậy, xóa dấu vết
(Covering Tracks)
- 16 -
Pha 3: Xâm nhập
Các lỗ hổng, điểm yếu được dò tìm trong 2 pha trên được sử dụng khai thác
để xâm nhập vào hệ thống. Ở pha này kẻ tấn công có thể dùng các kỹ thuật như:
tràn vùng đệm dựa trên stack, từ chối dịch vụ (DoS – Denial of Service) và bắt cóc
phiên làm việc (session hijacking).
Pha 4: Duy trì xâm nhập
Một khi kẻ tấn công đã xâm nhập được vào hệ thống, bước tiếp theo là làm
sao để duy trì các xâm nhập này để có thể khai thác và xâm nhập tiếp trong tương
lai. Một vài kỹ thuật như backdoors, Trojans. Một khi kẻ tấn công đã làm chủ hệ
thống chúng có thể sử dụng hệ thống để tấn công vào hệ thống khác, trường hợp
này hệ thống bị lợi dụng gọi là: zombie system.
Pha 5: Che đậy, xóa dấu vết
Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập. Bước tiếp
theo là phải làm sao xóa hết dấu vết để không còn chứng cứ pháp lý xâm nhập. Kẻ
tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Pha 2 (dò tìm) và pha 3 (xâm nhập) kẻ tấn công thường làm lưu lượng, kết

nối mạng thay đổi khác với lúc mạng bình thường rất nhiều. Nếu phân tích kỹ các
bất thường này để rút trích ra các đặc trưng hữu ích của mạng có thể từ đó phân
tích, phát hiện các xâm nhập như: quét cổng, quét dãy địa chỉ IP, tấn công từ chối
dịch vụ (DoS),…
Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 pha trên. Làm sao để nhận
biết tấn công, xâm nhập ngay từ hai pha đầu tiên (khảo sát thông tin và dò tìm thông
tin) là hết sức quan trọng, vì sẽ hạn chế tấn công, xâm nhập ở những pha tiếp theo.
Ngay tại pha thứ 3 là xâm nhập, pha này không dễ dàng đối với kẻ tấn công. Do
vậy, khi không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ
- 17 -
tấn công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho các người dùng
hợp lệ truy xuất tài nguyên phục vụ công việc.
Khảo sát thông tin, dò tìm thông tin, tấn công từ chối dịch vụ, cũng như
virus,… thông thường có tính chất hướng thời gian và có thể sử dụng phương pháp
khai thác dữ liệu để nhận dạng chúng. Trong các phần sau sẽ trình bày ứng dụng
SOM để nhận dạng một cách hiệu quả, theo thời gian thực những dạng tấn công
này.
2.5. Phân loại tấn công
Theo [7] có thể phân tấn công, xâm nhập thành 5 nhóm sau đây:
2.5.1. U2R (User to Root)
Người tấn công sử dụng tài khoản người dùng bình thường để truy cập vào
hệ thống và tìm cách nâng quyền của mình lên cao hơn. Tài khoản có thể kẻ tấn
công có được bằng sniff mật khẩu, dùng dictionary attack, hay social engineering.
Các tấn công phổ biến của dạng này là buffer overflow, loadmodule,…
2.5.2. R2L (Remote to Local)
Là trường hợp người tấn công có khả năng gởi gói dữ liệu mạng đến hệ
thống từ xa nhưng không có tài khoản truy cập vào hệ thống này. Và cố gắng để
truy cập vào hệ thống bằng việc khai thác lỗ hổng, đoán tài khoản và mật khẩu,…
Một số tấn công ở dạng này là dictionary, sendmail,…
2.5.3. DoS (Land, SYN flood, mailbomb, smurf, teardrop,…)

Gồm DoS và DDoS:
Tấn công dùng tài nguyên hệ thống làm hệ thống không đáp ứng được yêu
cầu người dùng hợp lệ.
- 18 -
Dạng tấn công này có thể tấn công trên các máy chủ, ứng dụng, hay toàn bộ
hệ thống mạng.
Tấn công từ chối dịch vụ có thể phân làm 2 loại:
- DoS đơn giản: tấn công từ một hệ thống đến một hệ thống.
- Distributed DoS (DDoS): tấn công từ nhiều hệ thống đến một hệ thống.
Phương pháp tấn công DoS:
- Làm tắt nghẽn mạng với lưu lượng gởi đến mạng rất lớn, vì vậy ngăn không
cho các lưu lượng hợp lệ truyền đi trên mạng.
- Ngăn các kết nối giữa 2 thiết bị, dẫn đến ngăn chặn truy cập đến dịch vụ.
- Ngăn chặn một máy tính, thiết bị cụ thể nào đó không truy cập được một
dịch vụ.
- Ngăn dịch vụ cung cấp cho một hệ thống hay một máy tính cụ thể hợp lệ.
Có nhiều tấn công DoS được giới thiệu trong [1], [8] như: SYN Flooding,
smurf, fraggle, Land, teardrop,…
Như vậy, qua khảo sát điển hình tấn công DoS và dò tìm, ta thấy lưu lượng,
kết nối mạng với một số đặc trưng như băng thông, số lượng kết nối đến một host
tăng vọt,… khác lúc bình thường rất nhiều. Đây cũng là một cơ sở để lựa chọn đặc
trưng phù hợp để phát hiện tấn công, xâm nhập hướng thời gian trên mạng.
2.5.4. Probes
Là loại tấn công dò tìm thông tin trên mạng.
Dò tìm thông tin có thể chia làm 3 loại sau:
- 19 -
- Dò tìm cổng: xác định cổng và dịch vụ nào đang mở. Một số cổng thường
ứng với các dịch vụ: FPT (21), Telnet (23), HTTP (80), SMTP (25), POP3
(110), HTTPS (443).
- Dò tìm mạng: xác định dãy IP của mạng.

- Dò tìm điểm yếu: Dò các điểm yếu của hệ thống.
Dưới đây là một số dạng dò tìm phổ biến:
- SYN Scan: dạng quét này không hoàn thành bắt tay 3 bước trong TCP
(TCP/IP three-way handshake) (Hình 2.7). Kẻ tấn công gởi gói SYN đến
máy cần thăm dò, nếu nhận phản hồi bằng gói SYN/ACK là có thể đoán
cổng đang mở, nếu nhận gói RST có thể là cổng không mở.
Hình 2.9. Quy trình bắt tay 3 bước.
- XMAS: gởi gói dữ liệu với gói FIN, URG, PSH. Nếu port mở thì không có
trả lời, nhưng nếu cổng đóng thì máy bị quét sẽ trả lời bằng gói RST/ACK.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×