i

Tp. Hồ Chí Minh, ngày … tháng … năm 2013
NHIỆM VỤ ỐT NGHIỆP
Họ và tên sinh viên: MSSV:
Chuyên ngành: Lớp:
Giáo viên hướng dẫn:
Ngày giao đề tài: Ngày nộp đề tài:
1. Tên đề tài:


2. Các số liệu, tài liệu ban đầu


3. Nội dung thuyết minh và tính toán





4. Sản phẩm



Trường Đại Học Sư Phạm Kỹ Thuật Tp.HCM
Khoa Đào Tạo Chất Lượng Cao
***
Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam
Độc lập – Tự do – Hạnh phúc
***
Trưởng ngành

Giáo viên hướng dẫn

ii

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN



























Giáo viên hướng dẫn


iii

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN



























Giáo viên phản biện

1

LỜI CẢM ƠN

Sau nhiều tháng tìm hiểu, nghiên cứu và cài đặt, đề tài “Tìm hiểu và xây dựng hệ
thống phòng chống và phát hiện xâm nhập sử dụng Snort/Snortsam” về cơ bản
đã hoàn thành. Trong thời gian thực hiện đề tài em đã nhận được nhiều sự giúp đỡ
từ bạn bè, các anh chị và thầy cô.
Em xin chân thành gửi lời cảm ơn đến sự giúp đỡ, sự động viên và ủng hộ tinh thần
của gia đình và bè bạn để hoàn thành đề tài này.
Em cũng xin chân thành cảm ơn quý thầy cô tại trường Đại học Sư Phạm Kỹ
Thuật Tp. Hồ Chí Minh, và Khoa Đào tạo Chất lượng cao đã tạo điều kiện cho
em được nghiên cứu và học tập. Đặc biệt em xin chân thành cảm ơn thầy Nguyễn
Đăng Quang đã luôn nhiệt tình nhắc nhở, đốc thúc em làm việc chăm chỉ, thầy chỉ
bảo và gửi em nhiều bài báo cáo để em có thể tham khảo và hoàn thành đề tài. Thầy
đã có những góp ý về cả nội dung và trình bày để em có thể hoàn thành bài báo cáo
một cách tốt nhất
Mặc dù đã rất cố gắng để hoàn thành đề tài một cách tốt nhất, nhưng chắc chắn đề
tài sẽ vẫn còn tồn tại những thiếu sót. Em luôn mong mỏi nhận được các góp ý, các
thảo luận về các vấn đề này.

Sinh viên thực hiện

Nguyễn Văn Quang

2

TÓM TẮT

Xây dựng hệ thống phòng chống và phát hiện xâm nhập là một giải pháp nhằm
nâng cao tính bảo mật của hệ thống. Xây dựng hệ thống phát hiện xâm nhập không
nhằm mục đích thay thế hệ thống tường lửa mà chỉ giúp bổ sung, thu thập thật nhiều
thông tin cho quá trình ngăn chặn các cuộc tấn công.
Ngoài các khái niệm, kỹ thuật phát hiện hiện xâm nhập của một hệ thống phát hiện
xâm nhập. Khóa luận còn tìm hiểu về một hệ thống phát hiện xâm nhập dựa trên
mạng là Snort và một mô-đun SnortSam kết hợp với iptables nhằm mục đích ngăn
chặn tấn công.
Mục tiêu chính của khóa luận là hiểu rõ nhất về cấu trúc của tập luật Snort. Hình
thành tư duy phân tích hệ thống thay vì triển khai hệ thống. Từ đó xây dựng ra các
tập luật cho những tình huống cụ thể của từng hệ thống.
Nội dung chính của khóa luận có thể chia thành 3 phần chính:
Phần 1: Bao gồm các nội dung chính về hệ thống phát hiện xâm nhập, mô hình, kỹ
thuật phát hiện…
Phần 2: Chi tiết kỹ thuật về hệ thống phát hiện xâm nhập mạng Snort/SnortSam.
Kiến trúc của hệ thống Snort, cấu trúc luật của Snort.
Phần 3: Phân tích một vài dạng tấn công, phân tích các luật tương ứng. Demo hệ
thống.
Từ khóa: phát hiện xâm nhập, hệ thống phát hiện xâm nhập, phát hiện dựa trên sự
bất thường, phát hiện dựa trên mẫu, Snort, SnortSam, SYN Flood, Apache Killer…
3

ABSTRACT

For enchanced security of system, we implement a intrusion detection system and
intrusion prevention system for our system. Deploy IDS/IPS don’t replace firewall

system so supplenment and collected many infomations for prevention attacks.
Graduation thesis is researched about define, intrusion detection technology of
intrusion detection system (IDS). It still is researched about Snort, SnortSam with
iptables for prevention attacks.
Main objectives of graduation thesis is system administrator have knowledge about
rule syntax, analytics system. Build own Snort rule for him system.
Content of graduation thesis include three main part:
Part 1: Intrusion detection, network diagram, intrusion detection technology.
Part 2: Snort/SnortSam, Snort architecture, Snort rule syntax.
Part3: Analytics a few attacks, analytics a few rules for attack and demo.
Keywords: intrusion detection, intrusion detection system, anomaly based intrusion
detection, misuse/signature based intrusion detection, Snort, SnortSam, SYN Flood,
Apache Killer.



4

MỤC LỤC

DANH MỤC HÌNH VẼ 7
DANH MỤC TỪ VIẾT TẮT 9
PHẦN I: ĐẶT VẤN ĐỀ 10
PHẦN II: GIẢI QUYẾT VẤN ĐỀ 3
CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 5
1.1. Giới thiệu 5
1.2. Hệ thống phát hiện xâm nhập là gì? 5
1.2.1. Network-based IDS 7
1.2.2. Host-based IDS 8
1.3. Các kỹ thuật phát hiện xâm nhập 10

1.3.1. Anomaly Based Intrusion Detection 10
1.3.2. Misuse/Signature Based Intrusion Detection 12
1.4. Đặt IDS trong hệ thống mạng 13
CHƯƠNG 2: GIỚI THIỆU VỀ SNORT/SNORTSAM 15
2.1. Snort là gì? 15
2.2. Triển khai hệ thống Snort 15
2.2.1. Yêu cầu phần cứng 16
2.2.2. Hệ điều hành và các gói phần mềm khác 17
2.3. Đặc điểm của Snort 17
2.3.1. Packet Sniffer (Decoder) 19
2.3.2. Preprocessors 20
2.3.3. Detection Engine 21
5

2.3.4. Thành phần cảnh báo/logging 23
2.4. Các chế độ hoạt động của Snort 24
2.4.1 Chế độ sniffer và chế độ log 24
2.4.2 Chế độ NIDS 25
2.5. Giới thiệu về SnortSam 26
2.5.1. Snort Output Plug-in 27
2.5.2. Blocking Agent 28
CHƯƠNG 3: PREPROCESSORS VÀ OUTPUT PLUG-INS 30
3.1. Preprocessors 30
3.1.1. Frag3 31
3.1.2. Stream5 35
3.1.4. HTTP Inspect 39
3.2. Output 40
CHƯƠNG 4: LUẬT TRONG SNORT 42
4.1. Rule Header 43
4.1.1. Rule Action 43

4.1.2. Protocol 44
4.1.3. IP Address 44
4.1.4. Port 44
4.1.5. Điều hướng 45
4.1.6. Activate/Dynamic rule 45
4.2. Rule Options 46
4.2.1. General 46
4.2.2. Payload 48
6

4.2.3. Non-Payload 51
4.2.3. Post-detection 57
CHƯƠNG 5: PHÂN TÍCH MỘT SỐ LUẬT TRONG SNORT 61
5.1. Khảo sát luật scan 61
5.2 Win.Trojan.Ibabyfa.dldr 64
5.3. TCP-SYN Flood 65
5.4 Apache Killer (CVE-2011-3192) 67
CHƯƠNG 6: CÀI ĐẶT VÀ CẤU HÌNH SNORT 71
6.1 Sơ đồ hệ thống 71
6.2. Cài đặt Snort và SnortSam 72
6.3. Thử nghiệm các kiểu tấn công 83
KẾT QUẢ ĐẠT ĐƯỢC 86
PHẦN KẾT LUẬN 88
TÀI LIỆU THAM KHẢO 91

7

DANH MỤC HÌNH VẼ

Hình 1.1: OSSEC được triển khai trên các Server. 9

Hình 1.2: Các mẫu khác thường. 10
Hình 1.3: Phân tích chuyển trạng thái 12
Hình 1.4: Các vị trí đặt IDS trong hệ thống mạng. 14
Hình 2.1: Kiến trúc của Snort. 18
Hình 2.2: Các gói tin đi vào Sniffer. 19
Hình 2.3: Giải mã gói tin. 20
Hình 2.4: Quá trình xử lí ở Preprocessors. 21
Hình 2.5: Gói tin được xử lý ở Detection Engine bằng các luật. 22
Hình 2.6: Thành phần cảnh báo và logging. 24
Hình 3.1: Quá trình tiền xử lý. 31
Hình 3.2: Phân loại các hệ điều hành 34
Hình 3.3: Ý nghĩa các tham số cấu hình toàn cục. 36
Hình 3.4: Ý nghĩa các tham số cấu hình TCP. 38
Hình 3.5: Ý nghĩa các tham số cấu hình UDP. 38
Hình 3.6: Ý nghĩa các tham số cấu hình ICMP. 38
Hình 3.7: Ý nghĩa các tham số cấu hình IP. 38
Hình 4.1: Cấu trúc luật trong Snort. 43
Hình 4.2: Bảng reference 47
Hình 4.3: Bảng ipopts. 52
Hình 4.4: Bảng flag 53
Hình 4.5: Bảng Type của ICMP Header 55
8

Hình 4.6: Giá trị Code của ICMP Header 56
Hình 4.7: Tham số của từ khóa detection_filter. 59
Hình 5.1: Giao thức bắt tay ba bước. 66
Hình 5.2: SYN Flood 66
Hình 5.3: HTTP Request bình thường. 68
Hình 5.4: HTTP Request tạo bởi Apache Killer 68
Hình 6.1: Mô hình triển khai trong thực tế với một vùng DMZ. 71

Hình 6.2: Mô hình thực nghiệm. 71
Hình 6.2: Bảng danh sách các máy trong hệ thống mạng. 71
Hình 6.3: Mô hình xử lý của Snort, MySQL, Base 72

9

DANH MỤC TỪ VIẾT TẮT

CNSS
Committee on National Security Systems
IDS
Intrusion Detection System
IPS
Intrusion Prevention System
NIDS
Netword-base IDS
HIDS
Host-based IDS
ICMP
Internet Control Message Protocol
IP
Internet Protocol
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
DoS
Denial-of-Service
DDoS
Distributed Denial-of-Service

GNU/GPL
GNU General Public License
ACID
Analysis Console for Intrusion Databases
BASE
Basic Analysis and Security Engine
ISP
Internet Service Provider
FDDI
Fiber Distributed Data Interface
ACL
Access Control List
HTTP
Hypertext Transfer Protocol


10







PHẦN I
ĐẶT VẤN ĐỀ









1

Tính cấp thiết của đề tài.
Xã hội ngày càng phát triển, Internet trở thành một phần không thể thiếu đối với
từng cá nhân, doanh nghiệp, các tổ chức, trường học cũng như chính phủ. Internet
du nhập vào Việt Nam được hơn 15 năm, đã trở thành công cụ, phương thức giúp
cho các doanh nghiệp tiếp cận với khách hàng, cung cấp dịch vụ, quản lý dữ liệu
của tổ chức một cách hiệu quả và nhanh chóng.
Cùng với sự phát triển theo chiều hướng tốt, các cuộc tấn công và xâm nhập mạng
của những kẻ xấu cũng phát triển theo. Không chỉ trên thế giới mà ở Việt Nam vấn
đề “an toàn thông tin” đã và đang trở thành vấn đề nóng bỏng. Sự đa dạng và phức
tạp trong các loại hình tấn công đã gây ra nhiều khó khăn cho việc ngăn chặn và
phòng chống.
Thương mại điện tử ở Việt Nam càng phát triển thì càng trở thành mục tiêu của
nhiều attacker hơn. Thương mại điện tử đã trở thành mục tiêu có nhiều giá trị thu
lợi hơn, hấp dẫn các attacker bỏ nhiều công sức hơn trong việc xâm nhập và phá
hoại.
Một hệ thống phòng chống và phát hiện xâm nhập sẽ giúp người quản trị có thể
luôn luôn theo dõi và thu thập nhiều thông tin đáng giá cho quá trình chống lại các
hình thức tấn công và xâm nhập đó.
Mục tiêu nghiên cứu.
Nghiên cứu chung về hệ thống phát hiện xâm nhập, các đặc điểm, kiến trúc của một
hệ thống phát hiện xâm nhập, đặc biệt là các kỹ thuật phát hiện xâm nhập đang
được áp dụng.
Nghiên cứu về hệ thống phát hiện xâm nhập Snort, cách cài đặt, cấu hình, triển khai
trong hệ thống mạng.

Phân tích các dấu hiệu của các hình thức tấn công, hình thành nên các luật tương
ứng với đặc điểm của các dạng tấn công và xâm nhập đó
Nghiên cứu, triển khai SnortSam như một add-on của Snort nhằm chặn các cuộc
xâm nhập được chỉ định.
2

Đối tượng nghiên cứu.
Đối tượng nghiên cứu của đề tài là hệ thống phát hiện xâm nhập nói chung. Hệ
thống phát hiện xâm nhập Snort, add-ons của Snort là SnortSam.
Nghiên cứu và hình thành các tập luật đối với các dạng tấn công, xâm nhập cụ thể.
Phương pháp nghiên cứu.
Nghiên cứu về lý thuyết phát hiện xâm nhập thông qua các tài liệu các bài báo cáo.
Nghiên cứu lý thuyết về Snort thông qua tài liệu từ trang chủ của Snort, tài liệu
hướng dẫn cho người sử dụng từ Sourcefire và các nguồn tài liệu khác.
Nghiên cứu về SnortSam thông qua tài liệu và hướng dẫn sử dụng từ trang chủ của
SnortSam.
Triển khai hệ thống trên máy ảo Virtualbox, xây dựng hệ thống mạng đơn giản mô
tả một hệ thống mạng nhỏ trong thực tế. Triển khai các dịch vụ như trong mô hình
mạng cỡ nhỏ.
Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công cụ và
cách thức thực hiện.
Triển khai tấn công, xâm nhập, khai thác lỗ hổng. Sau đó đọc log, phân tích gói tin
bắt được, chuyển hóa thành các luật nhằm phát hiện và ngăn chặn.

3








PHẦN II
GIẢI QUYẾT VẤN ĐỀ








4


Nội dung
Các nội dung chính trong phần này bao gồm: hệ thống phát hiện xâm nhập, Snort,
SnortSam, cấu trúc và cách viết các luật trong Snort. Cài đặt triển khai Snort trong
hệ thống mạng, demo tấn công và phát hiện.
Chương 1, “Hệ thống phát hiện xâm nhập (IDS)”, tổng quan về hệ thống phát hiện
xâm nhập, kỹ thuật phát hiện xâm nhập, phân loại các hệ thống phá hiện xâm nhập.
Đặt hệ thống IDS trên hệ thống mạng như thế nào.
Chương 2, “Giới thiệu về Snort/S nortSam”.
Chương 3, “Preprocessors và Output Plug-ins”, tiền xử lý trong Snort và phần
output.
Chương 4, “Luật trong Snort”, cấu trúc của một luật trong Snort.
Chương 5, “Phân tích một số luật trong Snort”, trình bày một số dạng tấn công và
tập luật kèm theo.
Chương 5, “Cài đặt và cấu hình Snort/SnortSam”.
Chương 6, “Demo phát hiện xâm nhập và phòng chống dựa trên Snort/SnortSam”.


5

CHƯƠNG 1
HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)

1.1. Giới thiệu
Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới. Vì nó đã được áp
dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực an toàn thông
tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện
xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con. Nguyên lý hoạt động
rất đơn giản, hệ thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ
hú để cảnh báo rằng có kẻ đang xâm nhập.
Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng
để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong
muốn. Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Như
trong đề tài “Tìm hiểu về Firewall và triển khai trên ClearOS” ta đã biết rằng
giống như trong thế giới thực tường lửa được dựng lên giống như con người xây
tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của
mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có
thể biết hết các phương pháp mà kẻ trộm có thể tấn công được. Vì vậy ngoài hệ
thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thể triển khai các hệ thống cảnh
báo như chuông báo động, camera quan sát, hệ thống cảnh báo
Tương tự như vậy trong hệ thống mạng, không ai có thể chắc chắn rằng các phần
cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn công cũng như
biết được hết các phương pháp của attacker. Chính vì vậy mà cần xây dựng một hệ
thống IDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất
thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp
thời (Monitor and Logging).
1.2. Hệ thống phát hiện xâm nhập là gì?

6

Theo định nghĩa trong tài liệu CNSSI-4009 của Ủy ban An ninh Quốc gia của Hoa
Kỳ thì “intrusion” nghĩa là “hành động truy cập trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống”.
“Computer Intrusion” là hành động cố tình truy cập vào một máy tính mặc dù
không có sự cho phép hoặc tìm cách vượt qua quyền truy cập (đã có) để có thêm
quyền truy cập vào các tài nguyên khác và thu thập thông tin.
“Intrusion Detection” là quá trình theo dõi các sự kiện xảy ra trong một hệ thống
máy tính hoặc trong một hệ thống mạng. Sau đó phân tích các dấu hiệu của các sự
cố có thể xảy ra. Các sự cố đó có thể là hành động vi phạm các chính sách bảo mật
hoặc các tiêu chuẩn về an ninh của hệ thống hoặc cũng có thể là các mối đe dọa đến
hệ thống của doanh nghiệp. Nguyên nhân xảy ra các sự cố này có thể là do các phần
mềm độc hại như virus, worm, trojan, spyware cũng có thể là hành động cố ý xâm
nhập từ Internet hoặc vượt quá quyền truy cập thông thường. Tuy vậy cũng có
những nguyên nhân khách quan ví dụ như người sử dụng gõ nhầm địa chỉ của một
máy tính và cố gắng truy cập vào một hệ thống mà mình không được phép.
Intrusion Detection Systems (IDS) có thể là một thiết bị phần cứng (các thiết bị
phát hiện xâm nhập của Cisco (Cisco IDSM-2 hoặc Cisco IPS 4200 Series
Sensors)) hoặc cũng có thể là một ứng dụng phần mềm giúp giám sát máy tính, hệ
thống mạng trước các hành động đe dọa đến hệ thống hoặc vi phạm chính sách an
ninh và báo cáo lại cho người quản trị hệ thống. Một hệ thống phát hiện xâm nhập
cài đặt trên hệ thống mạng giống như một hệ thống cảnh báo chống trộm (burglar
alarm) trong một ngôi nhà.
Một số hệ thống phát hiện xâm nhập còn kiêm luôn cả chức năng ngăn chặn các
mối đe dọa đó tuy nhiên điều đó có thể không cần thiết và cũng không phải là chức
năng chính của của một hệ thống giám sát.
Một hệ thống phát hiện xâm nhập cơ bản sẽ “xác định” các mối nguy hại, “ghi” lại
thông tin về chúng và sau đó “báo cáo” lại các thông tin đó.
Nói ngắn gọn về chức năng của một hệ thống phát hiện xâm nhập đó là “giám sát”

(lưu lượng mạng), “cảnh báo” (báo cáo tình trạng mạng cho hệ thống và người quản
7

trị), “bảo vệ” (dùng các thiết lập mặc định và cấu hình từ người quản trị mà có
những hành động chống lại sự xâm nhập)
IDS có thể được phân loại theo chức năng thành 2 loại là Network-based IDS và
Host-based IDS. Mỗi loại có một cách tiếp cận riêng biệt để theo dõi và bảo vệ dữ
liệu và mỗi loại cũng có những ưu nhược điểm riêng.
1.2.1. Network-based IDS
Hệ thống phát hiện xâm nhập dựa trên mạng hoạt động như một thiết bị độc lập trên
mạng. Nó thường được đặt ở các segment mạng hoặc các điểm kết nối giữa các
vùng mạng khác nhau. Nhờ đó nó có thể giám sát lưu lượng mạng từ nhiều host
khác nhau trong vùng mạng đó. NIDS có thể là một thiết bị phần cứng hoặc phần
mềm.
Về cấu trúc thì NIDS thường bao gồm một tập hợp các cảm biến (sensors) được
đặt ở các điểm khác nhau trong hệ thống mạng. Các cảm biến này sẽ thực hiện giám
sát lưu lượng mạng, thực hiện phân tích cục bộ lưu lượng mạng đó và báo cáo về
cho trung tâm quản lý (Center Management Console).
Một số NIDS: Snort, Suricata, các NIDS của Cisco, Juniper
Ưu điểm của NIDS:
 Quản lý được cả một network segment (gồm nhiều host). Chi phí thấp vì
có thể giám sát cả một hệ thống mạng lớn với chỉ vài thiết bị (mạng được
thiết kế tốt).
 “Trong suốt” đối với cả người dùng và các attacker.
 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
Nhược điểm của NIDS:
 NIDS có thể gặp khó khăn trong việc xử lý tất cả các gói tin trên một
mạng có kích thước lớn và mật độ lưu thông cao. Điều này dẫn đến NIDS
có thể sẽ không thể phát hiện ra một cuộc tấn công khi mạng đang ở trạng
thái over-whelming (quá tải).

8

 Bị hạn chế bởi switch. Trên các mạng chuyển mạch hiện đại, các switch
được sử dụng nhiều để chia mạng lớn thành các segment nhỏ để dễ quản
lý. Vì thế dẫn đến NIDS không thể thu thập được thông tin trong toàn hệ
thống mạng. Do chỉ kiểm tra trên segment mà nó kết nối trực tiếp nên nó
không thể phát hiện tấn công trên một segment khác. Vấn đề này dẫn đến
việc doanh nghiệp phải mua một số lượng lớn cảm biến nếu muốn bao
phủ toàn hệ thống mạng của họ, làm tăng chi phí.
 NIDS không thể phân tích được các thông tin đã bị mã hóa (SSL, SSH ).
 Một số hệ thống NIDS có thể gặp khó khăn với dạng tấn công phân mảnh
gói dự liệu (fragmenting packets).
 NIDS không thể phân biệt được một cuộc tấn công thành công hay thất
bại. Nó chỉ có thể phân biệt được có một cuộc tấn công đã được khởi
xướng. Điều này nghĩa là để biết được cuộc tấn công đó thành công hay
thất bại người quản trị phải điều tra các máy chủ và xác định nó có bị
xâm nhập hay không?
1.2.2. Host-based IDS
Hệ thống phát hiện xâm nhập dựa trên máy chủ hoạt động trên một máy trạm đơn.
HIDS sẽ sử dụng các tài nguyên của máy chủ đó để theo dõi lưu lượng truy cập và
phát hiện các cuộc tấn công nếu có. Bằng cách này HIDS có thể theo dõi được tất cả
các hoạt động trên host đó như tập tin log và những lưu lượng mạng ra vào host đó.
Ngoài ra nó còn theo dõi hệ điều hành, lịch sử sổ sách, các thông điệp báo lỗi của
máy chủ.
Không phải hầu hết các cuộc tấn công đều thông qua hệ thống mạng, nên không
phải lúc nào NIDS cũng có thể phát hiện được cuộc tấn công trên một host. Ví dụ,
kẻ tấn công có quyền physical access, từ đó có thể xâm nhập vào host đó mà không
cần tạo ra bất cứ network traffic nào.
Một ưu điểm của HIDS so với NIDS đó là nó có thể ngăn chặn các cuộc tấn công
phân mảnh (Fragmentation Attacks). Bởi vậy nên HIDS thường được cài đặt trên

9

các trên các máy chủ xung yếu của tổ chức, các server trong vùng DMZ (do là mục
tiêu tấn công chính).
HIDS cũng thường theo dõi những gì thay đổi trên hệ thống như các thuộc tính của
hệ thống tập tin, các thuộc tính (kích thước, vị trí, quyền…) của tập tin, phát hiện
tập tin mới được tạo ra hay xóa đi.
Một số HIDS: Symantec ESM, OSSEC, Tripwire
Hình 1.1: OSSEC được triển khai trên các Server.
Ưu điểm của HIDS:
■ Phát hiện các cuộc tấn công nên các máy chủ mà NIDS không thể phát
hiện ra.
■ Có thể giám sát các luồng traffic đã bị mã hóa.
■ Không bị ảnh hưởng bởi các thiết bị chuyển mạch (switch).
Nhược điểm của HIDS:
■ Khó quản lý hơn do phải cài lên tất cả các host cần bảo vệ nên việc cấu
hình, quản lý, cập nhật là một khối lượng lớn công việc cần thực hiện.
■ NIDS không thể phát hiện việc quét mạng (network scan bằng nmap) do
chỉ giám sát trên host mà nó được cài đặt.
■ Có thể bị vô hiệu hóa bởi tấn công từ chối dịch vụ (DoS).
10

■ Chiếm tài nguyên hệ thống: Do cài đặt trên máy cần bảo vệ nên nó sẽ sử
dụng tài nguyên của hệ thống như RAM, CPU, Hard Disk dẫn đến có thể
làm giảm hiệu suất của việc giám sát.
■ HIDS sẽ “chết” khi hệ điều hành của host đó bị “chết”.
1.3. Các kỹ thuật phát hiện xâm nhập
Ở phần này sẽ tìm hiểu về những kỹ thuật được sử dụng trên IDS để phát hiện ra
các cuộc xâm nhập. Về cơ bản có 2 kỹ thuật được sử dụng để phát hiện sự xâm
nhập đó là:

 Phát hiện sự bất thường (Anomaly Based ID)
 Phát hiện sự lạm dụng/dấu hiệu (Misuse/Signature Based ID).
1.3.1. Anomaly Based Intrusion Detection
Đầu tiên, “dị thường” (anomaly) còn được biết đến như sự sai khác, sự riêng biệt
với những mẫu có sẵn trong dữ liệu hoặc không phù hợp với những khái niệm, hành
vi thông thường của hệ thống. Hình dưới là một ví dụ về sự khác thường của O1,
O2, O3 về cả hành vi và cấu tạo so với N1 và N2.
Hình 1.2: Các mẫu khác thường.
Kỹ thuật phát hiện dựa trên sự bất thường được thiết kế nhằm phát hiện các “mẫu
hành vi” (patterns of behavior) khác xa với những hành vi thông thường sau đó gắn
cờ là có thể xâm nhập đối với những hành vi này.
Ưu điểm:
11

■ Một IDS được xây dựng dựa tên kỹ thuật phát hiện bất thường có thể phát
hiện ra các hành vi “không bình thường” và do đó nó có thể phát hiện ra
triệu chứng của các cuộc tấn công mà không cần biết chi tiết, cụ thể về
loại tấn công đó. Nói đơn giản là nó có thể phát hiện ra các cuộc tấn công
chưa từng được biết đến.
■ Phát hiện sự bất thường có thể được sử dụng để cung cấp các thông tin,
mà các thông tin này có thể được xây dựng các dấu hiệu (signature) sử
dụng trong kỹ thuật misuse detector.
Nhược điểm:
■ Phương pháp tiếp cận sự bất thường thường tạo ra một số lượng lớn các
báo động sai do không thể đoán được hành vi của người sử dụng và hệ
thống mạng.
■ Phương pháp tiếp cận sự bất thường yêu cầu phải thường xuyên được
“đào tạo” từ các bản ghi của hệ thống nhằm biết được đâu là các hành vi
bình thường.
Phát hiện xâm nhập dựa trên sự bất thường rất hữu hiệu trong việc phát hiện các

cuộc tấn công như:
■ Lạm dụng giao thức và cổng dịch vụ.
■ Tấn công từ chối dịch vụ.
■ Buffer Overflow.
Các biện pháp và kỹ thuật được sử dụng trong phát hiện bất thường bao gồm:
■ Phát hiện giao thức bất thường (Protocol Anomaly Detection). Giao thức
bất thường nghĩa là những trường hợp vi phạm các định dạng, các tiêu
chuẩn các hành vi đã được quy định thành chuẩn Internet từ trước đó. Ví
dụ: Kích thước gói tin ICMP tối đa là 65,535 bytes attacker cố tình gửi
một gói tin có kích thước lớn hơn kích thước tiêu chuẩn đó nhằm gây ra
lỗi tràn bộ đệm.
12

■ Phát hiện xâm nhập dựa trên quá trình tự học: Quá trình này gồm 2 bước,
bước 1 sau khi hệ thống được thiết lập thì cho hệ thống chạy tự do và tạo
hồ sơ về các hoạt động mạng với trạng thái bình thường. Sau thời gian
khởi tạo, hệ thống sẽ đi vào quá trình làm việc, hệ thống sẽ tiến hành theo
dõi và phát hiện các hoạt động bất thường dựa trên việc so sánh trạng thái
hiện tại với trạng thái hồ sơ được tạo.
■ Phát hiện xâm nhập dựa trên sự thống kê bất thường (Statistical Anomaly
Based Intrusion Detection). Kỹ thuật này nhấn mạnh việc đo đếm các hoạt
động bình thường trên mạng. Ví dụ đăng nhập quá số lần quy định, số tiến
trình hoạt động quá mức trên CPU, số lượng gói tin được gửi quá mức…
1.3.2. Misuse/Signature Based Intrusion Detection
Bằng cách so sánh dấu hiệu của các đối tượng đang quan sát với dấu hiệu của các
hình thức xâm nhập đã biết trước. Hai kỹ thuật được sử dụng trong phương phát
phát hiện xâm nhập dựa trên dấu hiệu là:
■ Expression matching (biểu thức phù hợp).
■ State transition analysis (phân tích chuyển trạng thái).


Hình 1.3: Phân tích chuyển trạng thái.