Tải bản đầy đủ (.docx) (42 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

“Phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin”.

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (413.85 KB, 42 trang )

Đồ án tốt nghiệp Đại học

Lời cảm ơn

LỜI CẢM ƠN
Với lòng kính trọng và biết ơn sâu sắc, em xin chân thành cảm ơn các thầy cô
giáo tại trường

về sự dạy bảo của thầy cô trong quá trình em học tại trường.

Em xin đặc biệt cảm ơn Giảng viên

người đã hướng dẫn trực tiếp, chỉ

bảo tận tình cho em. Đồ án này sẽ khó có thể hoàn thành nếu thiếu sự giúp đỡ,
khuyến khích và những ý kiến đóng góp quý báu của cô.
Cảm ơn bố mẹ, em gái, bạn bè và các bạn trong lớp

đã luôn bên cạnh cổ

vũ, động viên tinh thần để em có thể vượt qua mọi khó khăn.
Đồ án được thực hiện trong thời gian ngắn, mặc dù cố gắng tìm hiểu nhưng do
kiến thức có hạn nên chắc chắn vẫn còn nhiều thiếu sót. Rất mong thầy cô góp ý để đồ
án được hoàn hiện hơn.
Cuối cùng, em xin kính chúc các thầy, cô và gia đình luôn luôn mạnh khỏe và
thành công hơn nữa trong sự nghiệp cao quý.

Hà Nội, ngày tháng năm 201
Sinh viên

1




Đồ án tốt nghiệp Đại học

Mục lục

MỤC LỤC

2


Đồ án tốt nghiệp Đại học

Danh mục hình vẽ

DANH MỤC HÌNH VẼ

3


Đồ án tốt nghiệp Đại học

Lời nói đầu

LỜI NÓI ĐẦU
Phát hiện tấn công, xâm nhập trái phép vào các hệ thống máy tính và mạng
thường được sử dụng như lớp phòng vệ thứ 2 trong mô hình “Phòng vệ nhiều lớp có
chiều sâu” trong việc đảm bảo an toàn cho các hệ thống máy tính và mạng. Nhiều kỹ
thuật đã được nghiên cứu và triển khai trong hiện tấn công, xâm nhập mạng, như phát
hiện dựa trên phân tích lưu lượng mạng, phát hiện dựa trên phân tích header gói tin và

phát hiện dựa trên phân tích sâu gói tin (Deep Packet Inspection). Kỹ thuật phát hiện
dựa trên phân tích sâu gói tin có nhiều ưu điểm, đặc biệt trong phát hiện sự lây lan của
các phần mềm độc hại, như sâu mạng. Do vậy, việc tiếp tục nghiên cứu và triển khai
mô hình phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin là cần thiết.
Vì vậy em chọn đề tài “Phát hiện xâm nhập mạng dựa trên phân tích sâu gói
tin”. Trên cơ sở phân tích các gói tin TCP/IP truyền trên mạng, các dạng tấn công,
xâm nhập mạng., đồ án này đã được xây dựng với những nội dung chính như sau:
Chương 1: Tổng quan phát hiện, xâm nhập mạng
Chương 2: Phân tích sâu gói tin dựa trên n-gram và ứng dụng trong phát hiện
xâm nhập mạng
Chương 3: Cài đặt và thử nghiệm
Mặc dù em đã nỗ lực hoàn thành đề tài này nhưng do còn những hạn chế về
thời gian và hiểu biết của bản thân nên không tránh khỏi những thiếu sót. Vì vậy, em
mong nhận được sự góp ý của các thầy cô và các bạn để phục vụ thêm cho công tác
học tập và nghiên cứu của mình trong tương lai.

4


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG

Chương 1 trình bày một số khái niệm tổng quan, các biện pháp phòng chống và
các kỹ thuật phát hiện xâm nhập mạng.
1.1. Khái quát về tấn công mạng và các biện pháp phòng chống
1.1.1. Khái quát về tấn công
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự

phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của
các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện
ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá
nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch
vụ công... Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty
nào có hệ thống mạng dù lớn hay nhỏ . Tuy nhiên, trong sự phát triển mạnh mẽ của
các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn,
an ninh thông tin cũng trở thành một trong những thách thức lớn.
1.1.1.1. An toàn thông tin
- An toàn thông tin là một nhu cầu rất quan trọng đối với các cá nhân cũng như
các tổ chức xã hội và các quốc gia trên thế giới.
- An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ
thông tin được lưu giữ và truyền trên mạng.
- Liên quan đến các kiến thức về khoa học mật mã, công nghệ mạng, các ứng
dụng trên mạng.
1.1.1.2. Đe dọa an ninh
- Phá hoại thông tin và nguồn tài nguyên khác.
- Sửa đổi hoặc làm sai lạc thông tin.
- Đánh cắp, xóa bỏ hoặc làm mất thông tin và các nguồn tài nguyên khác.
- Làm lộ thông tin.
- Ngắt dịch vụ.
5


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

Tấn công hay đột nhập vào một hệ thống thông tin hoặc một hệ thống mạng là sự
vi phạm chính sách an toàn, bảo mật của hệ thống đó. Các loại tấn công được phân

thành hai loại như sau:


Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm nhập vào hệ
thống mà không cần đến sự đồng ý của tài nguyên CNTT)



Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tài nguyên
CNTT)
Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn công được

chia thành:


Bên trong, những tấn công này đến từ chính các nhân viên của công ty, đối tác
làm ăn hoặc khách hàng



Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet.

1.1.1.3. Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng
- Quét do thám hệ thống: quét Ping, quét TCP, quét UDP, quét hệ điều hành, quét
tìm kiếm accout thâm nhập...
- Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mật
khẩu, khai thác từ xa các lỗi DoS (Denial of Service), tràn bộ đệm, khai thác quan hệ
uỷ quyền.
- Cài đặt cửa sau (backdoor) và truy cập từ xa.
- Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp.

- Tấn công với lỗi RPC (Remote Procedure Call - Gọi thủ tục từ xa).
1.1.1.4. Nguy cơ tấn công mạng
- Xâm nhập vào mạng từ bên ngoài Internet.
- Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN.
- Các thiết bị mạng, SNMP, RIP.
- Phát hiện, đánh lừa, và xuyên qua firewall.
- Truy cập uỷ nhiệm ngoài không được chứng thực.
- Tấn công mạng bằng worm.
6


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Tấn công bằng spam.
1.1.1.5. Nguy cơ tấn công phần mềm máy chủ dịch vụ
- Tấn công DNS (Domain Name Service).
- Tấn công Web server.
- Tấn công SMTP (Simple Mail Transfer Protocol) send mail.
- Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol).
- Tấn công Database server.
- Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood, ....
1.1.1.6. Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử
- Đánh cắp thông tin bằng các chương trình spy, virus.
- Giả mạo thông tin trong thư tín và giao dịch.
- Nghe lén thông tin.
- Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection.
- Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng
1.1.1.7. Nguy cơ mất an toàn thông tin trên mạng WLAN

- Quét dò sóng mạng, tấn công xâm nhập mạng
- Bẻ khoá WEP (Giao thức an toàn của mạng không dây).
- Giả mạo điểm truy cập không dây WAP.
- Tấn công từ chối dịch vụ.
1.1.1.8. Vấn đề trên mạng di động
- Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS.
- Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động.
1.1.2. Các dạng tấn công điển hình
1.1.2.1. Tấn công do thám
Kẻ tấn công sử dụng các công cụ phần mềm có chức năng scanner mạng và cố
gắng tìm kiếm, phát hiện lỗ hổng hệ thống máy tính mục tiêu.

7


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP.
- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng, nhận
dạng các dịch vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn
công.
- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký
hosting, địa chỉ IP, hệ thống tên miền. Tìm và thu thập các điểm yếu dễ bị tấn công của
hệ thống đó.
1.1.2.2. Tấn công truy nhập
Kẻ tấn công hệ thống bằng cách truy vấn dữ liệu, giành quyền truy nhập, tấn
công truy nhập, khai thác điểm yếu dễ bị tấn công trong các dịch vụ xác thực, các dịch
vụ FTP, các dịch vụ Web

- Tấn công password: dò tìm password, sử dụng trojan horse, phân tích gói tin,
giả mạo địa chỉ IP.
- Tấn công khai thác, lợi dụng độ tin cậy trong mạng để làm bàn đạp tấn công
vào một hệ thống khác.
- Kiểu tấn công port redirection: đó là kiểu tấn công mà kẻ tấn công đã "dàn xếp"
qua các dịch vụ máy chủ công cộng, thông qua dịch vụ máy chủ công cộng này kẻ tấn
công cài đặt phần mềm vào máy chủ mạng bên trong. Từ bên ngoài kẻ tấn công có thể
thiết lập kết nối vào mạng bên trong (mục tiêu) qua tiến trình port redirection dựa trên
dịch vụ máy chủ công cộng mà dựa vào đó có thể dễ dàng vượt qua sự kiểm soát của
firewall.
- Kiểu tấn công man_in_the_middle_attack: đó là kiểu tấn công thông qua phân
tích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến. Sửa đổi, thay
nội dung dữ liệu trên đường truyền.
1.1.2.3. Tấn công từ chối dịch vụ
Đây là kiểu tấn công phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của
tài nguyên mạng. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội
bộ, thậm chí cả một hệ thống mạng lớn. Kẻ tấn công sẽ chiếm dụng một lượng lớn tài
nguyên mạng như băng thông, bộ nhớ, ... và làm mất khả năng xử lý các yêu cầu dịch
vụ từ các máy trạm khác.
8


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Tấn công thông qua kết nối:
- Tấn công kiểu SYN flood.
- Kiểu tấn công Land Attack
- Kiểu tấn công UDP flood

- Tấn công sử dụng băng thông
- Tấn công sử dụng các nguồn tài nguyên khác
- Tấn công kiểu Smurf Attack
-Tấn công kiểu Tear Drop:
1.1.2.4. Kiểu tấn công IP Spoofing - GIẢ MẠO ĐỊA CHỈ IP
Kẻ tấn công ở trong hoặc ngoài mạng đóng vai như một máy tính tin cậy để trao
đổi thông tin.
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng
dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng
bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một
máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các
gói tin IP phải gửi đi.
1.1.2.5. Tấn công dựa trên VIRUS, TROJAN HORSE, WORM, MÃ ĐỘC HẠI
Đây là phương pháp các hacker dùng các đoạn mã có chứa Virus, trojan horse,
worm, mã độc hại để lấy cắp thông tin phục vụ mục đích của mình.
1.1.3. Các biện pháp phòng chống
- Để đảm bảo an ninh đầu cuối, ta cần xét toàn bộ môi trường an ninh bao gồm
toàn bộ môi trường truyền thông, từ đầu cuối đến đầu cuối. 5 mục tiêu quan trọng để
tạo lập môi trường an ninh:
a. Nhận thực: Nhận thực là quá trình kiểm tra sự hợp lệ của các đối tượng tham
gia thông tin. Đối với các mạng vô tuyến quá trình này thường được thực hiện tại 2
lớp: lớp mạng và lớp ứng dụng. Mạng đòi hỏi người sử dụng phải được nhận thực
trước khi được phép truy nhập mạng. Cách nhận thực đơn giản nhất (kém an ninh

9


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng


nhất) là kết hợp tên người sử dụng và mật khẩu. Phương pháp tiên tiến hơn là sử dụng
chứng nhận số hay các chữ ký điện tử.
b. Toàn vẹn số liệu: là đảm bảo rằng số liệu truyền không bị thay đổi hay bị phá
hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu. Điều này có thể thực hiện bằng
kiểm tra mật mã hay MAC (Message Authentication Code: mã nhận thực bản tin).
Thông tin này được cài vào bản tin bằng cách sử dụng 1 giải thuật cho bản tin. Phía
thu tính toán MAC và so sánh MAC trong bản tin. Nếu đúng-> toàn vẹn, nếu sai-> loại
bỏ bản tin.
c. Bảo mật: là một nét rất quan trọng trong an ninh và vì thế thường được nói
đến nhiều nhất. Mục đích của bảo mật là để đảm bảo tính riêng tư của số liệu chống lại
sự nghe hoặc đọc trộm số liệu từ những người không được phép. Cách phổ biến nhất
để ngăn ngừa sự xâm phạm là mật mã hóa số liệu (mã hóa bản tin-> dạng không thể
đọc được đối vs máy thu nào trừ máy thu chủ định).
d. Trao quyền: là cơ chế để kiểm tra rằng người sử dụng được quyền truy nhập
một dịch vụ cụ thể và quyết định mức độ truy nhập của người sử dụng: người sử dụng
được quyền thực hiện một số hành động. Nó thường liên hệ chặt chẽ với nhận thực.
Access List Control (ALC) thường được sử dụng cho quá trình quyết định người sử
dụng được làm gì.
e. Cấm từ chối: là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch
mà chúng đã tham gia không được từ chối tham gia giao dịch. Nó bao gồm nhận dạng
các bên sao cho các bên này sau đó không thể từ chối tham gia các giao dịch. Thực
chất, điều này có nghĩa là phía phát chứng minh được đã phát bản tin và phía thu đã
thu được bản tin. Để thực hiện điều này mỗi giao dịch phải được ký bằng 1 chữ ký
điện tử và phía thứ 3 tin cậy kiểm tra, đánh đấu thời gian.
f. Chống phát lại: không cho phép kẻ phá hoại chặn bản tin phát từ A đến B và
phát lại bản tin này nhiều lần làm quá tải B dẫn đến B từ chối dịch vụ (Deny of
Service).
- An ninh thường được sử dụng tại nhiều lớp, mỗi lớp phải xử lý các khía cạnh
khác nhau của an ninh, đảm bảo nhiều cơ chế bảo vệ sao cho khi 1 cơ chế bị phá vỡ thì

tổng thể vẫn được an toàn.

10


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

1.2. Phát hiện tấn công, xâm nhập mạng
1.2.1. Khái quát về tấn công, xâm nhập mạng
Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi không bình thương
nào của hệ thống. Điều này có thể là cách hữu dụng trong việc phát hiện các tấn công
thực. Chúng ta hãy xem xét thêm về vấn các triệu chứng để có thể lần theo dấu vết của
những kẻ xâm phạm.
1.2.1.1. Sử dụng các lỗ hổng đã được biết đến
Trong hầu hết các trường hợp, việc cố gắng lợi dụng các lỗi trong hệ thống bảo
mật của một tổ chức nào đó có thể bị coi như hành vi tấn công, đây cũng là triệu chứng
chung nhất cho một sự xâm phạm. Mặc dù vậy bản thân các tổ chức có thể phải có các
biện pháp chống lại kẻ tấn công bằng cách sử dụng các công cụ hỗ trợ trong việc bảo
vệ mạng –công cụ đó được gọi là bộ quét tình trạng file và bảo mật. Chúng hoạt động
nội bộ hoặc từ xa, tuy nhiên chúng cũng thường bị những kẻ xâm nhập nghiên cứu rất
kỹ.
Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cả người dùng và kẻ
tấn công. Việc kiểm tra tính đúng đắn về cách sử dụng file bằng các bộ quét toàn vẹn
và việc hiểu biết đến các bộ quét lỗ hổng là cần thiết để phát hiện những cuộc tấn công
đang trong quá trình thực thi hoặc lần theo những hỏng hóc từ các tấn công thành
công. Từ những vấn đề đó nảy sinh ra các vấn đề công nghệ dưới đây:



Sự phát hiện của bộ quét. Công cụ kiểm tra tính toàn vẹn file hoạt động theo
một cách có hệ thống để có thể sử dụng các kỹ thuật mô hình hóa và các công cụ
đặc biệt cho mục đích phát hiện, ví dụ: phần mềm anti-SATAN.



Một sự tương quan giữa việc quét và sử dụng là rất cần thiết – việc quét các lỗ
hổng có thể cần phải sâu hơn sử dụng một tính năng dịch vụ, điều này nghĩa là nó
có thể báo trước được những tấn công có thể xuất hiện trong tương lai.

1.2.1.2. Hoạt động mạng khác thường, có tính chất định kỳ
Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai thác các ứng
dụng và tiến hành nhiều phương pháp thử. Các hoạt động xâm phạm thường khác với

11


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

hoạt động của người dùng đang làm việc với hệ thống. Bất kỳ một công cụ kiểm tra
thâm nhập đều có thể phân biệt các hoạt động khả nghi sau một ngưỡng. Nếu vượt quá
một ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và công bố cho
bạn biết. Đây là kỹ thuật thụ động cho phép phát hiện kẻ xâm nhập mà không cần phải
tìm một chứng cứ rõ ràng mà chỉ cần qua việc kiểm tra định lượng.
Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập được điều khiển từ
cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều đặn và được xem xét theo các khía
cạnh dưới đây:
Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt động hợp lệ và nghi




ngờ (để kích hoạt các báo cảnh). Các hoạt động mạng có thể được nhận dạng bằng
sử dụng nhiều giá trị tham số được lấy từ (ví dụ) profile người dùng hoặc trạng
thái Session.
Thời gian giữa những lần lặp là một tham số để xác định thời gian trôi qua giữa



các sự kiện diễn ra liền kề nhau, ví dụ, một hoạt động bị nghi ngờ nếu xuất hiện
trong khoảng 2 phút có đến 3 lần đăng nhập không thành công.
Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công. Một kẻ tấn công có



thể có các hành động trung tính (hầu như xảy ra trong giai đoạn thăm dò) và điều
đó có thể làm sai lệnh các thiết bị phòng chống IDS.


Các dịch vụ và giao thức mạng được minh chứng theo những cách nghiêm ngặt
và sử dụng các công cụ phần mềm nhận dạng. Bất kỳ một sự không tương thích
nào với các mẫu đã được đưa ra (gồm có các lỗi con người như việc xuất hiện lỗi
in trong gói mạng) có thể là thông tin có giá trị để phát hiện ra dịch vụ đang bị
nhắm đến bởi kẻ xâm nhập.



Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữ chậm mail, thì
chuỗi bản ghi của nó sẽ thể hiện thói quen thông thường hoặc có thể đoán trước .

Mặc dù vậy, nếu bản ghi chỉ thị rằng một quá trình đặc biệt nào đó đã cung cấp
các lệnh không hợp lệ thì đây vẫn có thể là một triệu chứng của một sự kiện bình
thường hoặc một sự giả mạo

12


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

1.2.1.3. Mâu thuẫn trực tiếp trong lưu lượng
Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là một trong những
triệu chứng tấn công tiềm ẩn. Xem xét dữ liệu nguồn và địa điểm (trong nước hoặc
nước ngoài) có thể nhận dạng trực tiếp về một gói tin.
Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên. Mặc dù vậy, yêu
cầu cho dịch vụ trong mạng nội bộ lại là một session đang tới và một quá trình kích
hoạt một Web dựa vào dịch vụ từ một mạng nội bộ là một session gửi đi. Sự mâu
thuẫn trực tiếp dưới đây có thể được xem như các dấu hiệu của một vụ tấn công:


Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng nội bộ của chúng –
yêu cầu dịch vụ đang tới từ bên ngoài, trong trường hợp đó các gói có địa chỉ
nguồn bên trong của chúng. Tình huống này có thể là dấu hiệu của một tấn công
giả mạo IP bên ngoài. Các vấn đề như vậy có thể được giải quyết tại các bộ định
tuyến, chúng có thể so sánh địa chủ nguồn với vị trí đích. Trong thực tế, số ít bộ
định tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành cho tường lửa.




Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến mạng ở ngoài với một
địa chỉ đích của nó – trường hợp ngược lại. Kẻ xâm nhập thực hiện từ bên ngoài
và nhắm vào một hệ thống ở ngoài



Các gói có các cổng nguồn và đích không mong muốn – nếu cổng nguồn của
một gói đang tới hoặc yêu cầu gửi đi không phù hợp với loại dịch vụ thì điều này
sẽ thể hiện như một hành động xâm nhập (hoặc quét hệ thống). Ví dụ: yêu cầu
Telnet Service trên cổng 100 trong môi trường có thể xảy ra thì một dịch vụ như
vậy vẫn không thể được hỗ trợ (nếu có). Sự mâu thuẫn trực tiếp hầu như đều có
thể được phát hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ. Mặc dù vậy,
các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thống phát hiện xâm
phạm.

1.2.1.4. Các thuộc tính không mong muốn
Các trường hợp thường xảy ra nhất là ở những nơi phải xử lý một số lượng lớn các
thuộc tính của gói hoặc các yêu cầu cụ thể đối với dịch vụ. Chúng ta hoàn toàn có thể
định nghĩa mẫu thuộc tính mong đợi. Nếu các thuộc tính gặp phải không phù hợp với
mẫu này thì nó có thể là một hành động xâm phạm.

13


Đồ án tốt nghiệp Đại học


Chương 1: Tổng quan về phát hiện xâm nhập mạng

Các thuộc tính thời gian và lịch biểu – trong môi trường nào đó, hành vi mạng

cụ thể có thể xảy ra một cách thường xuyên tại một thời điểm nào đó trong ngày.
Nếu hành vi thông thường này bị phá vỡ thì trường hợp này cần phải được kiểm
tra. Ví dụ, chúng tôi sử dụng một công ty, nơi mà việc vận chuyển được tiến hành
vào chiều thứ sáu hàng tuânà. Bằng cách đó, dữ liệu số trao đổi trong các phiên
giao dịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xem như các
hành động bình thường. Tuy nhiên nếu thứ sáu là ngày nghỉ mà vẫn xuất hiện việc
truyền tải dữ liệu thì vấn đề này cần phải kiểm tra.



Thuộc tính tài nguyên hệ thống. Các xâm phạm nào đó thường liên làm ảnh
hưởng xấu cho một số các thuộc tính hệ thống. Việc bẻ khóa bằng cách thử lặp đi
lặp lại password nhiều lần thường liên quan đến sự sử dụng phần lớn hiệu suất
CPU giống như các tấn công DoS với các dịch vụ hệ thống. Sử dụng nhiều tài
nguyên hệ thống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ và
kết nối mạng) đặc biệt là những thời điểm không bìng thường rất có thể là một dấu
hiệu.



Với các gói có các thiết lập TCP phúc đáp không mong đợi. Nếu có một tập
ACK-flag thông qua một gói và không có SYN-packet (gói đồng bộ) trước được
gửi thì cũng có thể là một trường hợp tấn công (hoặc quét dịch vụ). Tình huống
như vậy có thể cũng là trường hợp bị hỏng gói, sự cố mạng đối với các phần mềm
chứ không nhất thiết là một tấn công.



Dịch vụ trộn lẫn các thuộc tính. Thông thường chúng ta có thể định nghĩa một
tập hợp chuẩn các dịch vụ vào ra để cung cấp cho một người dùng cụ thể. Ví dụ:

nếu người dùng đang trong chuyến đi công tác của họ, anh ta muốn sử dụng mail
và các tùy chọn truyền tải file. Bất kỳ những cố gắng nào liên quan đến tài khoản
của anh ta thông qua Telnet để truy cập vào các cổng đều có thể là những tấn
công.
Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ, cụ thể là người

dùng và các profile dịch vụ giúp đỡ trong việc phân biệt các thuộc tính điển hình và
các thuộc tính không mong muốn. Một file dấu hiệu giữ một số các dịch vụ chung của
một người dùng cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính. Các thông tin
này bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vị trí của máy trạm

14


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng tài nguyên, khoảng thời gian
session điển hình bởi các dịch vụ đơn lẻ.
1.2.2. Các kỹ thuật phát hiện tấn công, xâm nhập mạng
1.2.2.1. Các nguyên lý phát hiện tấn công
+ Phát hiện bất thường
Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức
ngưỡng về hoạt động bình thường. So sánh các sự kiện quan sát được với giá trị
ngưỡng bình thường tương ứng để phát hiện xâm nhập
- Bất thường về thống kê.
- Phát hiện bất thường dựa trên mô hình ứng dụng (tiếp cận bằng hệ thống miễn
dịch).
- Xác minh giao thức.

- Kiểm tra file.
- Mạng neuron.
+ Phát hiện dấu hiệu tấn công
Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu
hiệu tấn công dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện
xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao).
- Tìm kiếm mẫu.
- Phân tích chuyển đổi trạng thái.
- Các thuật toán di truyền
- Tiếp cận bằng hệ miễn dịch: dựa trên cơ sở dữ liệu sẵn có, phát triển chống tấn
công.
1.2.2.2. Các kỹ thuật phát hiện tấn công, xâm nhập mạng
Ngày nay có nhiều các kỹ thuật xử lý dữ liệu được áp dụng trong các hệ thống
phát hiện đột nhập. Các kỹ thuật này có thể được sử dụng đơn lẻ hoặc kết hợp với
nhau một cách linh hoạt nhằm đạt được kết quả tối ưu nhất. Trong phần này đồ án sẽ
giới thiệu một số kỹ thuật phổ biến trong các hệ thống phát hiện đột nhập ngày nay:
15


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Kỹ thuật thống kê là kỹ thuật sử dụng các công thức toán học và xác suất thống kê
nhằm tìm ra quy luật của các sự kiện xảy ra trong hệ thống và mạng. Kỹ thuật này
được sử dụng phổ biến từ khi IDS mới bắt đầu phát triển.
- Kỹ thuật học máy là kỹ thuật cho phép hệ thống có thể “học” một cách tự động từ dữ
liệu ban đầu nhằm giải quyết một vấn đề nhất định. Trong hệ thống phát hiện đột nhập,
học máy giúp đưa ra những dự đoán tình huống để đưa ra quyết định. Độ chính xác
của hệ thống phụ thuộc rất lớn vào thuật toán học máy và dữ liệu huấn luyện ban đầu.

- Kỹ thuật mạng nơ-ron là xây dựng mô hình tính toán mô phỏng mạng nơ-ron sinh
học. Kỹ thuật này dùng để mô hình hóa các mối quan hệ phức tạp giữa dữ liệu đầu vào
và kết quả đầu ra.
1.2.3. Hệ thống phát hiện tấn công, xâm nhập
1.2.3.1. Khái niệm
IDS (Intrusion Detection Systems) là hệ thống có thể phát hiện và cảnh báo đối
với bất kỳ sự xâm nhập bất hợp pháp nào từ bên ngoài vào một hệ thống. Khác với
tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các
hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo.
IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những
người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên
các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus
dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các
dấu hiệu khác thường.
Kiến trúc của hệ thống phát hiện đột nhập thường có 3 thành phần chính như mô
tả trong hình 1.1.

Phân tích

Thu thập

Hình 1.1. Kiến trúc hệ thống IDS

16

Cảnh báo


Đồ án tốt nghiệp Đại học


Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Thành phần thu thập thông tin: những module này tạo nên thành phần thu thập
dữ liệu nguyên thuỷ của một IDS. Thành phần này sẽ thu thập tất cả các thông tin liên
quan như: gói tin (packet) truyền trong mạng, lưu thông mạng, các log file hay các
hành vi của hệ thống, thông tin của hệ thống (CPU, bộ nhớ, …). Thông thường các gói
tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card
mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao lưu, xử lý, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ
gì... Các thông tin này được chuyển đến thành phần phát hiện tấn công.
- Thành phần phát hiện: Thành phần này chứa bộ cảm biến đóng vai trò quyết
định của IDS. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thông
tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì
vậy có thể phát hiện được các hành động nghi ngờ. Thông tin sẽ được xử lý về dạng
chuẩn, sau đó hệ thống sẽ quyết định trạng thái hiện tại có phải là tấn công hay không.
Giám sát các thành phần, là bộ phận xử lí chính của IDS, nhận các sự kiện từ các bộ
phận thu thập thông tin. Các sự kiện này được tập hợp lại và sinh ra các cảnh báo.
- Thành phần cảnh báo: bộ giải quyết nhận các báo cáo nghi ngờ từ các monitor,
và quyết định phản ứng thích hợp – log, thay đổi hành vi của các bộ phận cấp thấp
hơn, cấu hình lại biện pháp an ninh khác và thông báo cho người điều hành. Từ kết
quả của giai đoạn trước, thành phần này sẽ quyết định hình thức phản hồi có thể là gửi
cảnh báo đến bộ phận ngăn chặn, thông báo tới admin hoặc ghi log file.
Dưới đây là một số kỹ thuật ngǎn chặn.
Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để
họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các
tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và
là nguồn thông tin giúp cho module phát hiện tấn công hoạt động.

Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS
sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói
tin trở nên không bình thường.

17


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

1.2.3.2. Cơ chế hoạt động
- Phát hiện dựa trên sự bất thường: công cụ này thiết lập một hiện trạng các hoạt
động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi
hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
- Phát hiện thông qua giao thức (Protocol):Tương tự như việc phát hiện dựa trên
dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được
xác định cụ thể trong gói tin.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu
thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về
cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống
sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của
mạng bằng cách so sánh với hồ sơ đã thiết lập.
IDS có thể hoạt động một cách liên tục hoặc có chu kỳ (tương ứng là IDS thời
gian thực và IDS khoảng thời gian), do đó chúng sử dụng hai phương pháp phát hiện
xâm nhập khác nhau. Phân tích kiểm định là phương pháp phổ biến được sử dụng bởi
các hệ điều hành một cách định kỳ. Ngược lại, IDS có thể triển khai trong môi trường
thời gian thực được thiết kế cho việc kiểm tra online và phân tích các sự kiện hệ thống
và hoạt động người dùng.
1.2.3.3. Phân loại


a. HIDS: Host-IDS
+ Khái niệm
- HIDS (Host-IDS): cài đặt trên một host để theo dõi tính trạng hoạt động hoặc
các hành vi xâm nhập vào chính host này. Nó cung cấp các thông báo đều đặn theo
thời gian của bất kỳ sự thay đổi nào ở máy tính này từ tác động bên trong hay bên
ngoài. HIDS không giám sát hoạt động của cả một vùng mạng mà thường được đặt
trên các host quan trọng hay các server trong vùng DMZ (Demilitarized Zone). Mô
hình HIDS có thể được tham khảo như trong hình dưới. HIDS thu thập, phân tích các
lời gọi hệ thống, sự thay đổi các file hệ thống, các tiến trình, mức độ sử dụng CPU, ….
Khi các giá trị này vượt quá ngưỡng cho phép hoặc có dấu hiệu bất thường, HIDS sẽ
sinh ra cảnh báo.
18


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

.

Hình 1.2. Mô hình hệ thống HIDS
HIDS quan sát lưu lượng host của chúng và có thể dễ dàng phát hiện các tấn
công local-to-local hoặc tấn công local-to-root, bời chúng có một khái niệm rõ ràng về
thông tin nội bộ phù hợp, ví dụ: chúng có thể khai thác IDS người dùng. Cũng vậy,
công cụ phát hiện dị thường có độ bao phủ tốt hơn đối với các vấn đề bên trong vì khả
năng phát hiện của chúng được dựa vào mẫu hành vi thông thường của người dùng.
+ Lợi thế của HIDS
- Có khả năng xác đinh user liên quan tới một sự kiện (event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS

không có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
+ Hạn chế của HDIS
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
19


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- HIDS phải được thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.

b. NIDS (Network-IDS):
+ Khái niệm
NIDS (Network-IDS): sẽ kiểm soát tất cả gói tin trên từng phân mạng, đánh dấu
những gói tin bị nghi ngờ. Là hệ thống phát hiện đột nhập phân tích lưu lượng mạng
được lấy từ các hub, switch đã được cấu hình cổng theo dõi hoặc các nút mạng. Mô
hình hệ thống NIDS có thể được tham khảo trong hình sau. NIDS theo dõi lưu lượng
truy cập đến và đi của tất cả các thiết bị trong mạng. NIDS không thể phân tích các dữ
liệu mã hóa. Các thông tin có được từ việc giám sát hoạt động mạng như: địa chỉ IP
nguồn – đích, cổng nguồn –đích của các giao dịch TCP/UDP, các gói tin ICMP với
thông điệp không tìm thấy trạm đích, các máy chủ và dịch vụ đang được sử dụng trong
mạng … Từ đó hệ thống phát hiện tấn công đột nhập có thể đưa ra một số cảnh báo, ví
dụ: máy trạm trong mạng có địa chỉ không được xác thực, máy trạm cố gắng sử dụng

dịch vụ không được xác thực, máy trạm cố gắng kết nối tới một máy trạm cụ thể khác
trong hoặc ngoài mạng … Do sự phát hiện xâm nhập sử dụng dữ liệu thống kê trên
trọng tải mạng, nên một NIDS đã tuyên bố có thể được phân biệt rõ ràng, ví dụ như
các bộ kiểm tra lưu lượng (Novell Analyzer, Microsoft Network Monitor). Chúng thu
thập tất cả các gói chúng thấy trên đoạn mạng mà không cần phân tích chúng và chỉ
tập trung vào tạo các thống kê lưu lượng mạng.
+ NIDS ngoài luồng (out-stream): không can thiệp trực tiếp vào luồng dữ liệu mà
chỉ sao chép phần dữ liệu của luồng và phân tích, phát hiện các dấu hiệu của sự xâm
nhập, tấn công.
+ NIDS trong luồng (in-stream): nằm trước bức tường lửa, luồng dữ liệu phải đi
qua NIDS trước, có thêm chức nǎng chặn lưu thông.

20


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

Hình 1.3. Mô hình hệ thống NIDS
+ Lợi thế của NIDS
- Quản lý được cả một network segment (gồm nhiều host).
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với hệ điều hành.
+ Hạn chế của NIDS
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion
mà NIDS báo là có intrusion.
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
- Hạn chế về giới hạn băng thông. Hacker có thể tấn công bằng cách chia nhỏ
dữ liệu ra để xâm nhập vào hệ thống.

21


Đồ án tốt nghiệp Đại học

Chương 1: Tổng quan về phát hiện xâm nhập mạng

- Không cho biết việc attack có thành công hay không
1.3. Tóm tắt chương 1
Chương 1 đã giới thiệu tổng quan về các vấn đề an ninh thông tin, mối đe
dọa từ các cuộc tấn công vào hệ thống máy tính và mạng. Với sự phát triển ngày càng
phức tạp, nguy hiểm của những mối đe dọa, vấn đề đảm bảo an toàn thông tin ngày
càng trở nên cấp thiết. Hệ thống phát hiện đột nhập đã và đang trở thành một thành
phần quan trọng và không thể thiếu của mỗi hệ thống máy tính.
Trong chương 2, đồ án trình bày các kỹ thuật phân tích sâu gói tin và ứng dụng
trong phát hiện đột nhập. Đặc biệt, đồ án đi sâu nghiên cứu kỹ thuật phân tích sâu các
gói in dựa trên n-gram, kết hợp với thống kê và học máy nhằm nâng cao hiệu quả phát
hiện và giảm cảnh báo sai.

22


Đồ án tốt nghiệp Đại học
phát hiện xâm nhập mạng


Chương 2: Phân tích sâu gói tin dựa trên n-gram và ứng dụng trong

CHƯƠNG 2: PHÂN TÍCH SÂU GÓI TIN DỰA TRÊN N-GRAM VÀ ỨNG
DỤNG TRONG PHÁT HIỆN XÂM NHẬP MẠNG

Chương 2 trình bày về các khái niệm phân tích sâu gói tin và ứng dụng trong
phát hiện xâm nhập mạng.
2.1. Tổng quan về phân tích sâu gói tin
2.1.1. Khái quát về phân tích sâu gói tin
Phân tích sâu gói tin (Deep Packet Inspection- DPI) là phương pháp lọc các gói
tin trên mạng máy tính, kiểm tra từng phần của gói tin (bao gồm cả header và
payload), theo dõi các giao thức trái phép, virus, thư rác, đột nhập hay định nghĩa các
chuẩn để quyết định khi nào packet có thể đi qua hoặc nó cần phải được định tuyến
đến một đích khác, hoặc nhằm mục đích thu thập số liệu thống kê.
Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích
giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống (thời gian thực) như là
các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra
trên mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công
cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây.
Phân tích sâu gói tin có thể giúp chúng ta hiểu cấu tạo mạng, ai đang ở trên
mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà
việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại,
và tìm ra các ứng dụng không được bảo mật.
Các khái niệm liên quan
Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng.
• Network Traffic là lưu lượng thông tin vào/ra hệ thống mạng. Để có thể đo đạc,
kiểm soát Network Traffic ta cần phải chặn bắt các gói tin (Packet capture).
• Packet capture là hành động chặn bắt các packet dữ liệu được lưu chuyển trên
mạng. Packet capture gồm có:


23


Đồ án tốt nghiệp Đại học
phát hiện xâm nhập mạng

Chương 2: Phân tích sâu gói tin dựa trên n-gram và ứng dụng trong

+ Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên
mạng (bao gồm cả phần header và payload). Các gói tin chặn bắt được sẽ được lưu trữ
lại trong bộ nhớ tạm thời hoặc lâu dài.
+ Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên
nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng
hoạt động chính xác về kỹ thuật và luật pháp.
Một gói tin IP bao gồm một phần đầu gói tin IP (IP header) và một phần dữ liệu
trong gói tin IP (IP payload).
Phần tiêu đề (header) chứa các thông tin cần thiết để chuyển dữ liệu (ví dụ địa
chỉ IP của trạm đích). Nếu địa chỉ IP đích là địa chỉ của một trạm nằm trên cùng một
mạng IP với trạm nguồn thì các gói dữ liệu sẽ được chuyển thẳng tới đích; nếu địa chỉ
IP đích không nằm trên cùng một mạng IP với máy nguồn thì các gói dữ liệu sẽ được
gửi đến một máy trung chuyển, IP gateway để chuyển tiếp. IP gateway là một thiết bị
mạng IP đảm nhận việc lưu chuyển các gói dữ liệu IP giữa hai mạng IP khác nhau.
Ngoài các header, các gói tin còn có một phần chứa dữ liệu được gọi là payload
(hay phần nội dung gói tin). Các payload chứa thông tin của tầng ứng dụng
(Application) trong mô hình TCP/IP như ký tự, âm thanh, hình ảnh, email, …. Việc
phân tích dữ liệu trong phần payload được gọi là phân tích sâu gói tin.
2.1.2. Kiến trúc hệ thống phân tích sâu gói tin
Kiến trúc cơ bản của một hệ thống DPI gồm các bước:
- Bước 1: Xây dựng cơ sở dữ liệu chữ ký hoặc mẫu phát hiện: Hệ thống thu thập
thông tin của các dạng tấn công sau đó, thông tin được phân tích để tạo ra các chữ ký

(signature), dấu hiệu nhận biết, các luật (rule) hoặc các mẫu (pattern). Từ cơ sở dữ liệu
này, hệ thống có thể phát hiện ra những sự kiện đã biết hoặc chưa biết tùy thuộc vào
kỹ thuật được hệ thống sử dụng.
- Bước 2: Thu thập và tiền xử lý dữ liệu giám sát: Hệ thống có thể bắt từng gói tin
riêng lẻ hoặc thu thập từng mảnh (packet fragment) để tập hợp lại sau đó đưa vào quá
trình tiền xử lý. Bộ phận tiền xử lý sẽ phải đơn giản hóa payload của gói tin. Với
những gói tin đã bị mã hóa, hệ thống sẽ phải thực hiện giải mã trước khi xử lý.

24


Đồ án tốt nghiệp Đại học
phát hiện xâm nhập mạng

Chương 2: Phân tích sâu gói tin dựa trên n-gram và ứng dụng trong

- Bước 3: Phân tích sâu gói tin: Từ cơ sở dữ liệu được xây dựng trong bước 1 và gói
tin được thu thập, hệ thống sẽ tiến hành xử lý và đưa ra kết quả quyết định tính chất
của các gói tin. Mỗi hệ thống khác nhau sẽ có những kỹ thuật xử lý khác nhau như đối
sánh chuỗi, sử dụng các kỹ thuật học máy, các kỹ thuật thống kê, … Mục đích cuối
cùng của các hệ thống là có được kết quả chính xác nhất.
- Bước 4: Đưa ra quyết định: Từ kết quả của quá trình xử lý, gói tin có thể được đi qua
mà không có sự thay đổi gì, bị chặn (drop) hoặc chuyển hướng đến một nơi khác hay
hệ thống sẽ sinh ra các thông báo. Quyết định được hệ thống đưa ra phụ thuộc vào các
chính sách (policy), các luật (rule) đã được xây dựng từ trước

Hình 2.4. Kiến trúc cơ bản hệ thống DPI
2.1.3. Các kỹ thuật phân tích sâu gói tin
Quá trình bắt gói tin có thể chia thành 3 bước:
- Thu thập dữ liệu: đây là bước đầu tiên, chương trình bắt gói tin chuyển giao

diện mạng được lựa chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng
có thể lắng nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương
trình bắt gói tin sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ
liệu nhị phân trên đường truyền.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×