Giới thiệu Hệ thống tự động phát hiện xâm nhap
-------------------------------------------------------------------------------Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các ưu điểm
của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiện các
cuộc tấn công và tự động ngǎn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống.
1.Đặt vấn đề
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan
trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên
mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp
dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ
thống an ninh mạng trở nên mất hiệu qủa. Các hệ thống an ninh mạng truyền thống thuần
túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một
cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an
ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm
yếu của hệ thống. Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết
hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả
nǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó.
2. Nguyên lý hoạt động của hệ thống
IPS có hai chức nǎng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công
đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả nǎng bảo vệ tất cả các thiết
bị trong mạng.
2.1. Kiến trúc chung của các hệ thống IPS
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện
nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm
biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3
modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng.
a) Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin
từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông

tin này được chuyển đến modul phát hiện tấn công.
b) Modul phát hiện tấn công:


Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công.
Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò
sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống,
tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương
pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công
nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của
mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công
không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật
các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra các
hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc
tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ
lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành
động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có một số kỹ
thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự
bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt
động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu
hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ
thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của
mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ

làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so
sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để
cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng
lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động
của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt
động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả
trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin
tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các
cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra
các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự
lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai
làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu


nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống chạy
chuẩn xác hơn.
c) Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín
hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản
ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo
tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và
dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng
này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới
đây là một số kỹ thuật ngǎn chặn:
- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá
huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời gian
gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến tình
trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các

giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có trường thứ
tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu tiến trình tấn
công xảy ra nhanh thì rất khó thực hiện được phương pháp này.
- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một
gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này là
an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình
lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các
chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người
quản trị.
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm
được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin
log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông
tin giúp cho modul phát hiện tấn công hoạt động.
2.2. Các kiểu hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
a) IPS ngoài luồng
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ liệu vào
hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào,
phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS có thể


quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh
hưởng đến tốc độ lưu thông của mạng.
b) IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường
lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông. Điều
đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS
ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm

hơn.
3. Kết luận
Với những tính nǎng ưu việt của mình, IPS dần chiếm lĩnh được sự quan tâm hàng đầu
của các công ty, các nhà cung cấp dịch trong lĩnh vực an ninh mạng máy tính. Các sản
phẩm IPS đang được nghiên cứu, phát triển cả về phần cứng lẫn phần mềm. IPS dần được
hoàn thiện và triển khai phổ biến thay thế các hệ thống bảo mật bức tường lửa thuần tuý.