1
HỌC VIỆN KỸ THUẬT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
NGHIÊN CỨU VÀ PHÁT TRIỂN
CHƯƠNG TRÌNH PHÁT HIỆN XÂM
NHẬP MẠNG
Giáo viên: PGS-TS Nguyễn Hiếu Minh

2
ĐẶT VẤN ĐỀ

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng
internet trở thành vô cùng quan trọng.

Cùng với thời gian, các kỹ thuật tấn công ngày càng
tinh vi hơn khiến các hệ thống an ninh mạng trở nên
mất hiệu quả.
3

Việc xây dựng một hệ thống phát hiện xâm nhập (IDS)
riêng cho mỗi mạng để phòng chống sự tấn công của
tin tặc, cũng như đảm bảo an toàn về dữ liệu là rất
quan trọng.

Trên thị trường hiện nay, các hệ thống IDS tốt đều có
chi phí rất cao. Bên cạnh đó, vẫn có những phần mềm
mã nguồn mở vừa có hiệu quả tốt, lại vừa đáp ứng được
nhu cầu về chi phí.
4
NỘI DUNG NGHIÊN CỨU


Tìm hiểu tổng quan về hệ thống phát hiện xâm nhập

Nghiên cứu về chương trình phát hiện xâm nhập mã
nguồn mở Snort.

Xây dựng các tập luật tự tạo dựa trên các tool tấn công.

Tích hợp bộ tiền xử lý phát hiện dấu hiệu bất thường
(PHAD)
5
CHƯƠNG I: TỔNG QUAN VỀ IDS

IDS (Intrusion detection system): Là các công cụ, phương
thức để giúp nhận biết, đánh giá, và báo cáo những hành
động trái phép trên mạng.

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection
System) là phần mềm, phần cứng hoặc kết hợp cả hai

IDS cung cấp sự bảo vệ bằng cách cảnh báo cho người quản
trị biết về khả năng các cuộc tấn công
6
Cấu trúc chung của một hệ thống IDS
Bao gồm 3 phần chính:

Phần thu thập gói tin – Information Collection

Phần phát hiện – Detection


Phần phản ứng – Response
7
PHÂN LOẠI IDS
IDS chia ra làm 3 loại chính:

NIDS: Network-based IDS.

HIDS: Host-based IDS.

DIDS: Distributed IDS.
8
NIDS – NETWORK BASED IDS

NIDS theo dõi toàn bộ các vùng của mạng hoặc các subnet
o
Ưu điểm: theo dõi được toàn bộ thông tin trong hệ
thống mạng
o
Nhược điểm: dễ xảy ra hiện tượng nghẽn mạng
khi lưu lượng ở mức cao
9
HIDS – HOST BASED IDS

HIDS được đặt trên các host quan trọng của hệ thống và các server
trong vùng DMZ
o
Ưu điểm: HIDS có khả năng phát hiện các
cuộc tấn công diễn ra trên một máy.
o
Nhược điểm: HIDS không có khả năng phát

hiện các cuộc dò quét mạng.
10
DIDS – DISTRIBUTED IDS
Hệ thống IDS phân tán – DIDS là sự kết hợp của các
bộ cảm biến NIDS, HIDS hoặc là cả 2. IDS có thể
quan sát các sự cố trên toàn hệ thống, hoặc thậm chí
từ Internet
11
CHƯƠNG II: CHƯƠNG TRÌNH
PHÁT HIỆN XÂM NHẬP SNORT

Snort là phần mềm mã nguồn mở, được nhiều công ty,
tổ chức sử dụng để giám sát hệ thống mạng của mình.
Snort có 3 chức năng chính:
o
Là một bộ sniffer
o
Là một packet logger
o
Là một NIDS.

Là phần mềm opensource nên khi có các dạng tấn công
mới được phát hiện, nhà sản xuất sẽ nhanh chóng cập
nhật các Snort Rule để phát hiện được tấn công
12
MÔ HÌNH CHƯƠNG TRÌNH PHÁT HIỆN CHỐNG
XÂM NHẬP SNORT
13
CÁC THÀNH PHẦN CỦA SNORT


Packet Decoder : bộ giải mã gói

Preprocessors : bộ tiền xử lý.

Detection Engine : hệ thống phát hiện.

Logging and Alert system: hệ thống ghi
dấu và cảnh báo

Output Modules : các mô đun đầu ra.
14

Packet Decoder – Bộ giải mã gói: Các packet đến NIC được
giải mã bởi bộ Packet Decoder, bộ giải mã sẽ xác định xem gói
tin sử dụng giao thức nào, và đối chiếu dữ liệu với phương
pháp ứng xử được cho phép với giao thức đấy

Preprocessor – Bộ tiền xử lý: bộ tiền xử lý là một plug-in gắn
vào Snort, sẽ cho phép phân tích dữ liệu đến bằng nhiều
phương pháp khác nhau.

Detection Engine - Hệ thống phát hiện: Detection engine chịu
trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói
tin. Detection engine tận dụng những rule Snort để làm việc
này

Logging and Alert system - Hệ thống ghi dấu và cảnh báo:
Khi dấu hiệu trong gói tin trùng khớp với nội dung tập luật,
các cảnh báo và log sẽ được sinh ra.
15

CHƯƠNG III: TẬP LUẬT CỦA SNORT

Rule là thành phần cơ bản, quan trọng nhất
của Snort. Các packet đi vào sẽ được đối chiếu
với rule, tùy theo nội dung bên trong packet mà
Snort sẽ đưa ra hành động cụ thể

Cấu trúc tập luật trong Snort
Bao gồm 2 phần chính Rule header và Rule option
16

Rule header : chứa thông tin về hành động mà luật sẽ
thực hiện.Cấu trúc chung của rule header như sau:

Rule option: chứa thông điệp cảnh báo. Và chứa nội
dung của tập luật.
17

Cấu trúc tổng quát cho tập luật của Snort
action protocol address1 port \
direction address2 port \
(option1 : <value1> ;option2: <value2>;… )

Với các option là các giá trị tùy chọn trong rule
Option.
18
MỘT SỐ OPTION CƠ BẢN TRONG RULE OPTION

msg: <message>; ghi thêm chuỗi ký tự vào log và cảnh
báo. Thông điệp để trong “”.


content: < straight text>; or content: <hex data >; Tìm
ra giá trị chứa trong packet.

Flag: từ khóa được sử dụng trong phiên TCP, kiểm tra
các cờ.

ttl: < number> - Tùy chọn kiểm tra time to live của gói
tin tới
19
MÔ HÌNH XÂY DỰNG
20
KẾT QUẢ THỬ NGHIỆM TẤN CÔNG
VỚI CÁC RULE TỰ TẠO
21
CÁC TẬP LUẬT TỰ XÂY DỰNG

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"
dau hieu tan cong syn flood ";flow:stateless; flags:S; threshold:
type both, track by_dst, count 100, seconds 5; classtype: tan-cong-
dos/ddos; sid: 10000011;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"
dau hieu Xmas scan"; classtype: quet-mang; flags:F*U*P*FUP;
sid: 1000009)

alert tcp any any -> $HOME_NET any (msg:“phat hien trung IP";
sameip; classtype: tan-cong-landattack; sid:1000010)

alert udp $EXTERNAL_NET any -> $HOME_NET any

(msg:"phat hien UDP flood"; content:"|66 6C 6F 6F 64 75 64 70|";
classtype:tan-cong-dos/ddos; sid:100000014;)
22
CHƯƠNG IV: BỘ TIỀN XỬ LÝ PHAD

PHAD – Packet Header Anormaly Detection

Header của các gói tin Ethernet, IP, TCP,UDP,ICMP được
chia vào các trường từ 1 đến 4 byte.

Giá trị của các trường này được ghi vào k mảng.

Dấu hiệu bất thường được phát hiện nếu một trường có
chứa giá trị không giống như một trường trong k mảng đã
lưu.
23
CƠ CHẾ HOẠT ĐỘNG CỦA PHAD

Mỗi trường của header có dấu hiệu bất thường được gán giá trị:
Score
field
= tn/r
o
r: số lượng bất thường tại mỗi trường trong thời gian huấn
luyện
o
n: số lần 1 trường được học trong thời gian huấn luyện
o
t: thời gian cuối cùng xảy ra sự kiện bất thường trong 1 trường


Giá trị của một packet có dấu hiệu bất thường:
Score
packet
= ∑
i

€ anomalous field
t
i
r
i
/n
I
24
CHƯƠNG V: MÔ PHỎNG HỆ
THỐNG IDS

Tiến hành chạy Snort trên máy chủ Centos

Thử tấn công bằng các tool để Snort đưa ra cảnh báo.

Tool Synflood

Tool Landattack

Nmap

Tiến hành chạy bộ xử lý PHAD với bộ pcap DARPA
25
KẾT LUẬN


Kết quả đạt được sau quá trình nghiên cứu đồ án:
o
Sử dụng Snort phát hiện được một số loại tấn
công
o
Xây dựng thêm được tập luật
o
Tích hợp bộ xử lý phát hiện dấu hiệu bất thường

Hướng phát triển:
o
Nghiên cứu tìm hiểu sâu về hệ thống IDS nói
chung và phần mềm Snort nói riêng.
o
Hoàn thiện hơn hệ thống phát hiện xâm nhập để
có thể triển khai trong hệ thống thực