Tải bản đầy đủ (.pdf) (70 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Tìm hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.55 MB, 70 trang )

i

ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG

Trần Huy Phong

TÌM HIỂU, NGHIÊN CỨU HỆ THỐNG
PHÁT HIỆN XÂM NHẬP DỰA TRÊN KHAI PHÁ DỮ LIỆU

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên - 2015
Số hóa bởi Trung tâm Học liệu – ĐHTN




ii

LỜI CAM ĐOAN
Tôi xin cam đoan số liệu và kết quả nghiên cứu trong luận văn này là trung
thực và chƣa đƣợc sử dụng để bảo vệ học hàm, học vị nào.
Tôi xin cam đoan: Mọi sự giúp đỡ cho việc thực hiện luận văn này đã đƣợc
cám ơn, các thông tin trích dẫn trong luận văn này đều đã đƣợc chỉ rõ nguồn gốc.
Thái nguyên, ngày

tháng năm

TÁC GIẢ LUẬN VĂN


Trần Huy Phong

Số hóa bởi Trung tâm Học liệu – ĐHTN




iii

LỜI CẢM ƠN
Trong thời gian nghiên cứu và thực hiện luận văn này, em đã may mắn đƣợc
các thầy cô chỉ bảo, dìu dắt và đƣợc gia đình, bạn bè quan tâm, động viên. Em xin
bày tỏ lời cảm ơn sâu sắc nhất tới tất cả các tập thể, cá nhân đã tạo điều kiện giúp
đỡ em trong suốt quá trình thực hiện nghiên cứu luận văn này.
Trƣớc hết em xin trân trọng cảm ơn Ban giám hiệu trƣờng Đại học Công
nghệ thông tin và truyền thông, Phòng Đào tạo và Khoa Sau đại học của nhà
trƣờng cùng các thầy cô giáo, những ngƣời đã trang bị kiến thức cho em trong
suốt quá trình học tập.
Với lòng biết ơn chân thành và sâu sắc nhất, em xin trân trọng cảm ơn thầy
giáo- TS. Trần Đức Sự, ngƣời thầy đã trực tiếp chỉ bảo, hƣớng dẫn khoa học và
giúp đỡ em trong suốt quá trình nghiên cứu, hoàn thành luận văn này.
Xin chân thành cảm ơn tất cả các bạn bè, đồng nghiệp đã động viên, giúp đỡ
nhiệt tình và đóng góp nhiều ý kiến quý báu để em hoàn thành luận văn này.
Do thời gian nghiên cứu có hạn, luận văn của em chắc hẳn không thể tránh
khỏi những sơ suất, thiếu sót, em rất mong nhận đƣợc sự đóng góp của các thầy cô
giáo cùng toàn thể bạn đọc.
Xin trân trọng cảm ơn!
Thái nguyên, ngày……tháng….năm……

TÁC GIẢ LUẬN VĂN


Trần Huy Phong

Số hóa bởi Trung tâm Học liệu – ĐHTN




iv

MỤC LỤC
MỞ ĐẦU..........................................................................................................................................1
1. Lý do chọn đề tài: ........................................................................................................................1
2. Mục tiêu nghiên cứu:..................................................................................................................2
3. Đối tƣợng và phạm vi nghiên cứu: ..........................................................................................2
4. Ý nghĩa thực tiễn của luận văn: ................................................................................................2
5. Phƣơng pháp nghiên cứu:..........................................................................................................3
CHƢƠNG I: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP ...................4
1.1 Khái niệm về hệ thống phát hiện xâm nhập. .......................................................................4
1.2 Chức năng và vai trò của hệ thống phát hiện xâm nhập. ...................................................5
1.2.1 Chức năng nhiệm vụ của IDS ........................................................................ 5
1.2.2 Vai trò của hệ thống phát hiện xâm nhập ..................................................... 8
1.3 Mô hình kiến trúc của hệ thống phát hiện xâm nhập. ........................................................9
1.3.1 Các thành phần cơ bản: .................................................................................. 9
1.3.2 Kiến trúc của hệ thống IDS:......................................................................... 11
1.4 Phân loại các hệ thống phát hiện xâm nhập ...................................................................... 13
1.4.1 Hệ thống phát hiện xâm nhập máy chủ (HIDS) ........................................ 14
1.4.2 Hệ thống phát hiện xâm nhập mạng (NIDS) ............................................. 16
1.5 Các kỹ thuật phát hiện xâm nhập của hệ thống IDS. ...................................................... 18
1.5.1 Phát hiện dựa vào dấu hiệu ( Signature-base detection) ........................... 18

1.5.2 Phát hiện dựa trên sự bất thƣờng (Abnormaly - base detection) .............. 19
1.5.3 Kỹ thuật phát hiện dựa vào phân tích trạng thái giao thức ....................... 19
1.5.4 Phát hiện dựa trên mô hình .......................................................................... 20
1.6 Hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu. ............................................... 20
CHƢƠNG II: KHAI PHÁ DỮ LIỆU .................................................................................... 23
2.1 Khái niệm về khai phá dữ liệu............................................................................................. 23
2.2 Các bài toán chính trong khai phá dữ liệu. ........................................................................ 25
2.2.1 Phân lớp (Classification) .............................................................................. 25
2.2.1.1 Quá trình phân lớp ..................................................................................................... 25
2.2.1.2 Dự đoán........................................................................................................................ 27
2.2.2. Phân cụm (Clustering) ................................................................................. 27
2.2.3. Hồi quy và dự báo ( Regression and Prediction). ..................................... 27
2.2.3.1. Hồi quy........................................................................................................................ 27
2.2.3.2. Dự báo......................................................................................................................... 28
2.2.4. Tổng hợp (summarization).......................................................................... 28
2.2.5. Mô hình hoá sự phụ thuộc (dependency modeling). ................................ 28
2.2.6. Phát hiện sự biến đổi và độ lệch (change and deviation dectection) ...... 29
2.3. Ứng dụng và phân loại khai phá dữ liệu........................................................................... 29
2.3.1 Ứng dụng ....................................................................................................... 29

Số hóa bởi Trung tâm Học liệu – ĐHTN




v

2.3.2 Phân loại......................................................................................................... 30
2.4 Những thách thức và khó khăn trong khai phá dữ liệu. .................................................. 31
2.4.1. Những thách thức trong khai phá dữ liệu. ................................................. 31

2.4.2. Những khó khăn trong khai phá dữ liệu. ................................................... 31
2.4.2.1 Các vấn đề về cơ sở dữ liệu...................................................................................... 31
2.4.2.2 Một số vấn đề khác .................................................................................................... 34
CHƢƠNG III: MÔ HÌNH HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN
KHAI PHÁ DỮ LIỆU SỬ DỤNG KỸ THUẬT PHÂN LỚP ....................................................... 36
3.1. Đánh giá các kỹ thuật phân lớp .......................................................................................... 36
3.1.1. Khái niệm phân lớp...................................................................................... 36
3.1.1.1. Khái niệm ................................................................................................................... 36
3.1.1.2. Mục đích của phân lớp............................................................................................. 37
3.1.1.3. Các tiêu chí để đánh giá thuật toán phân lớp........................................................ 38
3.1.1.4. Các phƣơng pháp đánh giá độ chính xác của mô hình phân lớp ..................... 39
3.1.2 Phân lớp dựa trên phƣơng pháp học Naïve bayes ..................................... 39
3.1.2.1. Giới thiệu .................................................................................................................... 39
3.1.2.2. Bộ phân lớp Naïve bayes......................................................................................... 40
3.1.3 Phân lớp dựa trên cây quyết định (Decision Tree) .................................... 41
3.1.3.1. Khái niệm cây quyết định........................................................................................ 41
3.1.3.2. Giải thuật qui nạp cây quyết định (ID3)................................................................ 42
3.1.3.3. Độ lợi thông tin (Information Gain) trong cây quyết định................................. 43
3.1.3.4. Nội dung giải thuật học cây quyết định cơ bản ID3 ........................................... 43
3.1.3.5. Những thiếu sót của giải thuật ID3 ........................................................................ 46
3.1.3.6. Các vấn đề cần xem xét khi phân lớp dựa trên cây quyết định......................... 46
3.2 Xây dựng mô hình phát hiện xâm nhập trái phép sử dụng các kỹ thuật phân lớp..... 48
3.2.1 Mô hình bài toán ........................................................................................... 48
3.2.1.1 Thu thập dữ liệu.......................................................................................................... 49
3.2.1.2 Trích rút và lựa chọn các thuộc tính........................................................................ 52
3.2.1.3 Xây dựng bộ phân lớp............................................................................................... 55
3.2.2 Tiến hành thực nghiệm ................................................................................. 55
3.2.2.1 Phân lớp đa lớp ........................................................................................................... 55
3.2.2.2 Bộ phân lớp nhị phân ................................................................................................ 56
3.3 Phân tích đánh giá kết quả.................................................................................................... 58

KẾT LUẬN .................................................................................................................................. 60

Số hóa bởi Trung tâm Học liệu – ĐHTN




vi

DANH MỤC VIẾT TẮT
Ký Hiệu

Ý Nghĩa

Tiếng Anh

IDS

Intrusion Detection System Hệ thống phát hiện xâm nhập

NIDS

Network-base IDS

HIDS

Host-based IDS

KDD


Knowledge Discovery and Phát hiện tri thức
Data Mining

AAFID

Autonomous Agents for Tác nhân tự trị cho việc phát hiện
Intrusion Detection

xâm phạm
Cơ sở dữ liệu

CSDL
OLAP

On Line Analytical Processing

Công cụ phân tích trực tuyến

DARPA

Defense Advanced

Cơ quan dự án phòng thủ tiên tiến

Research Projects Agency
CPU

Central Processing Unit

Đơn vị xử lý trung tâm


DoS

Denial-of-Service

Tấn công từ chối dịch vụ

MADAMID Mining Audit Data for
Automated Models for

mô hình tự động để phát hiện xâm

Instruction Detection

nhập

RIPPER
WEKA

Khai phá dữ liệu đƣợc sử dụng trong

Thuật toán phân lớp dựa vào luật
Waikato Enviroment for
krowledge Analysis

Số hóa bởi Trung tâm Học liệu – ĐHTN





vii

DANH MỤC HÌNH VẼ

Hình 1.1- IDS-giải pháp bảo mật bổ sung cho Firewall ................................... 5
Hình 1.2 - Quá trình thực hiện của IDS ............................................................ 7
Hình 1.3 - Mô tả chính sách bảo mật ................................................................ 8
Hình 1.4 - Các thành phần chính của IDS....................................................... 10
Hình 1.5- Một ví dụ về IDS ............................................................................ 11
Hình 1.6 - Giải pháp kiến trúc đa tác nhân. .................................................... 12
Hình 1.7 - Phân loại hệ thống phát hiện xâm nhập ........................................ 13
Hình 1.8 - Mô hình HIDS ............................................................................... 14
Hình 1.9 - Mô hình Network IDS ................................................................... 17
Hình 1.10 - Mô tả dấu hiệu xâm nhập............................................................. 18
Hình 1.11 - Quá trình khai phá dữ liệu nhằm xây dựng mô hình phát hiện xâm
nhập trái phép [9]. ........................................................................................... 21
Hình 2.1 - Các bƣớc xây dựng một hệ thống khai phá dữ liệu ....................... 24
Hình 2.2 - Quá trình học ................................................................................. 26
Hình 2.3 - Quá trình phân lớp ......................................................................... 26
Hình 3.1 Ƣớc lƣợng độ chính xác mô hình phân lớp với phƣơng pháp holduot 39
Hình 3.2 - Các bƣớc xây dựng mô hình xâm nhập trái phép .......................... 48
Hình 3.3 - Quá trình khai phá tri thức ............................................................. 49
Hình 3.4 - Mô hình DoS attack ....................................................................... 50
DANH MỤC BẢNG

Bảng 3.1 - Dữ liệu chơi tenis ......................................................................... 45
Bảng 3.2 - Mô tả lớp tấn công từ chối dịch vụ (DoS)..................................... 50
Bảng 3.3 - Bảng mô tả lớp tấn công trinh sát hệ thống Probe ........................ 51
Bảng 3.4 - Bảng mô tả lớp tấn công chiếm quyền hệ thống U2R .................. 51
Bảng 3.5 - Bảng mô tả lớp tấn công khai thác điểm yếu từ xa R2L ............... 52

Bảng 3.6- Mô tả 41 thuộc tính của tập dữ liệu KDD Cup 1999 ..................... 53
Bảng 3.7 – Phân phối số lƣợng bản ghi .......................................................... 54
Bảng 3.8- Độ chính xác bộ phân lớp đa lớp ................................................... 56
Bảng 3.9- Thống kê kết quả trên bộ phân lớp nhị phân sử dụng cây quyết định 57
Bảng 3.10 - Thống kê kết quả trên bộ phân lớp nhị phân sử dụng Naïve Bayes 57
DANH MỤC BIỂU ĐỒ

Biểu đồ 3.1 - Biểu đồ so sánh độ chính xác (%) của hai thuật toán ............... 58
Biểu đồ 3.2 - Biểu đồ so sánh thời gian xây dựng mô hình (giây) của hai
thuật toán. ................................................................................................ 59

Số hóa bởi Trung tâm Học liệu – ĐHTN




1

MỞ ĐẦU
1. Lý do chọn đề tài:
Kể từ khi mạng Internet ra đời đến nay, thế giới đã chứng kiến sự thay đổi vô
cùng to lớn và kì diệu về nhiều mặt của đời sống con ngƣời. Nền kinh tế thế giới và
đời sống xã hội đã có nhiều sự biến đổi và ngày càng phụ thuộc vào công nghệ
thông tin nói chung cũng nhƣ công nghệ Internet nói riêng. Điều đó cũng dẫn đến
một mặt trái, đó là càng ngày càng nhiều các thông tin quan trọng của các cơ quan,
tổ chức hay cá nhân lƣu trữ trên các mạng máy tính, mà đa số các mạng máy tính
này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối.
Đi cùng với sự phát triển đó là những nguy cơ tấn công và xâm nhập mạng
không ngừng gia tăng. Các đối tƣợng tấn công và hình thức tấn công mạng ngày
một đa dạng, tinh vi và phức tạp hơn.

Vấn đề bảo mật, an toàn cho các hệ thống thông tin nói chung và hệ thống
mạng nói riêng là một vấn đề cấp bách và rất đáng đƣợc quan tâm. Bởi vậy, để bảo
vệ các hệ thống thông tin ngƣời ta sử dụng nhiều các giải pháp kỹ thuật khác nhau
nhƣ hệ thống tƣờng lửa, mã hoá, mạng riêng ảo (VPN), phòng chống virus…Trong
đó phát hiện xâm nhập trái phép (IDS) là một trong những công nghệ quan trọng
nhất nhằm giúp các tổ chức phát hiện và ngăn chặn kịp thời các tấn công trong thời
gian thực, cũng nhƣ dự đoán đƣợc các nguy cơ tấn công trong tƣơng lai [3], [5].
Chính vì vậy, nghiên cứu về hệ thống IDS sẽ giúp chúng ta nâng cao khả năng xây
dựng hệ thống phòng thủ cho việc giám sát an ninh mạng.
Hai phƣơng pháp cơ bản để phát hiện xâm nhập trái phép là dựa trên tập luật
và dựa trên các dấu hiệu bất thƣờng [1], [2], [6], [7]. Phƣơng pháp dựa trên tập luật
có thể phát hiện các tấn công dựa trên một cơ sở dữ liệu các dấu hiệu đã đƣợc định
nghĩa trƣớc. Phƣơng pháp này thƣờng có độ chính xác cao cũng nhƣ ít đƣa ra các
cảnh báo nhầm. Tuy nhiên, vấn đề của phƣơng pháp này là không thể phát hiện
đƣợc các tấn công mới chƣa đƣợc định nghĩa hoặc cập nhật trong cơ sở dữ liệu.
Phƣơng pháp dựa trên các dấu hiệu bất thƣờng có thể giúp xác định các tấn công
mới nhƣng thƣờng cho độ chính xác thấp hơn so với phƣơng pháp dựa trên tập luật.

Số hóa bởi Trung tâm Học liệu – ĐHTN




2

Hiện nay, Khai phá dữ liệu đã có nhiều bƣớc phát triển vƣợt bậc và có nhiều
ứng dụng kỹ thuật bằng các thuật toán khác nhau trong thực tế. Khai phá dữ liệu là
một phƣơng pháp tiếp cận mới trong việc phát hiện xâm nhập. Xây dựng mô hình
hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu là một hƣớng phát triển mới
và hiệu quả trong xây dựng hệ thống IDS.

Xuất phát từ những yêu cầu và lý do trên, em lựa chọn đề tài luận văn là: "Tìm
hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu".
Luận văn nghiên cứu khai phá dữ liệu và nghiên cứu ứng dụng mô hình hệ thống
phát hiện xâm nhập trái phép dựa trên khai phá dữ liệu; Từ đó đánh giá hiệu năng của
hệ thống phát hiện xâm nhập đối với các thuật toán phân lớp khác nhau trong thực tế.
2. Mục tiêu nghiên cứu:
- Nghiên cứu tổng quan về hệ thống phát hiện xâm nhập.
- Nghiên cứu một số thuật toán khai phá dữ liệu.
- Ứng dụng một số thuật toán khai phá dữ liệu trong phát hiện xâm nhập, so
sánh sự hiệu quả của các thuật toán.
- Đánh giá hiệu năng cho mô hình đó bằng các thuật toán phân lớp khác nhau
nhƣ: Naïve Bayes, Decision Tree.
3. Đối tƣợng và phạm vi nghiên cứu:
- Nghiên cứu mô hình hệ thống IDS hiện nay và đánh giá ƣu, nhƣợc điểm của IDS.
- Nghiên cứu các bài toán, kỹ thuật khai phá dữ liệu.
- Ứng dụng của khai phá dữ liệu trong hệ thống phát hiện xâm nhập.
- Một số thuật toán phân lớp dữ liệu.
- Đánh giá hiệu năng các kỹ thuật phân lớp cho hệ thống phát hiện xâm nhập
dựa trên khai phá dữ liệu.
4. Ý nghĩa thực tiễn của luận văn:
- Nghiên cứu ứng dụng mô hình hệ thống phát hiện xâm nhập dựa trên khai
phá dữ liệu giải quyết các vấn đề tồn tại của hệ thống IDS hiện nay.
- Đánh giá hiệu quả phân lớp cho mô hình. Đồng thời đề xuất lựa chọn các kỹ
thuật phân lớp phù hợp với từng loại tấn công cụ thể cho hệ thống phát hiện xâm
nhập dựa trên khai phá dữ liệu đã đề xuất.
Số hóa bởi Trung tâm Học liệu – ĐHTN





3

5. Phƣơng pháp nghiên cứu:
Việc giám sát các hành động trên mạng có thể thu thập và phân tích để phát
hiện ra các tấn công mạng. Các hành động này có thể tìm thấy trong các tệp log của
ứng dụng nhƣ tạo, xóa file, truy cập vào tệp có mật khẩu, gọi các lệnh của hệ thống...
Việc phân tích phát hiện các tấn công dựa trên tập dữ liệu về các hành động
này có thể thực hiện thông qua các thuật toán phân lớp dữ liệu, để phân lớp thành
các lớp tấn công đã biết trƣớc hoặc lớp truy cập bình thƣờng.
Nghiên cứu các tài liệu liên quan trong lĩnh vực khai phá dữ liệu và phát hiện
xâm nhập. Tìm hiểu, nghiên cứu các kỹ thuật phát hiện xâm nhập dựa trên phƣơng
pháp thống kê và khai phá dữ liệu.
Trên cơ sở nghiên cứu và phân tích tập dữ liệu DARPA [15]. Phân tích bằng
lý thuyết và thực nghiệm để xác định các thuộc tính quan trọng của tập dữ liệu có
ảnh hƣởng đến một hành động tấn công cụ thể, từ đó trích rút và chuyển đổi thành
định dạng phù hợp cho các thuật toán học phân lớp.
Nghiên cứu xây dựng các thực nghiệm sử dụng phần mềm Weka [14], đánh
giá hiệu quả của các thuật toán học phân lớp trên tập dữ liệu DARPA.

Số hóa bởi Trung tâm Học liệu – ĐHTN




4

CHƢƠNG I: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
Hệ thống phát hiện xâm nhập trái phép ra đời cách đây khoảng hơn 30 năm và
nó đã trở nên rất có ích cho việc bảo vệ các hệ thống mạng máy tính, bằng cách đƣa
ra các cảnh báo khi có dấu hiệu tấn công vào hệ thống, từ đó cho phép ngƣời quản

trị có thể xử lý kịp thời nhằm hạn chế các rủi ro do các tấn công gây ra. Chƣơng này
sẽ trình bày tổng quan về IDS hiện nay, để làm cơ sở cho nghiên cứu tiếp theo trong
luận văn.
1.1 Khái niệm về hệ thống phát hiện xâm nhập.
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) cung cấp
thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó đƣợc đánh
giá về giá trị không giống nhƣ firewall và VPN là ngăn ngừa các cuộc tấn công mà
IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi
vậy, một IDS có thể thoả mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh
báo cho bạn về khả năng các cuộc tấn công (và thỉnh thoảng thì ngoài những thông
báo chính xác thì chúng cũng đƣa ra một số cảnh báo chƣa đúng). Nhìn chung, IDS
không tự động cấm các cuộc tấn công hoặc là ngăn chặn những ngƣời khai thác một
cách thành công, tuy nhiên, một sự phát triển mới nhất của IDS đó là hệ thống ngăn
chặn xâm nhập (the intrusion prevention systems) đã có để thực hiện nhiều vai trò
hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra.
Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng, phần mềm hoặc
kết hợp cả hai đƣợc sử dụng để phát hiện các hành động truy nhập trái phép, có
chức năng giám sát lƣu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ
thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật
và đƣa ra cảnh báo cho nhà quản trị.

Số hóa bởi Trung tâm Học liệu – ĐHTN




5

Hình 1.1- IDS-giải pháp bảo mật bổ sung cho Firewall
Hệ thống phát hiện xâm nhập thƣờng thực hiện việc giám sát, theo dõi và thu

thập thông tin từ nhiều nguồn khác nhau. Sau đó sẽ phân tích, đánh giá nhằm phát
hiện việc xâm nhập đã đƣợc thực hiện, đang xuất hiện hoặc khả năng đối phó với
những xâm nhập khi đã bị xâm nhập trong các mạng và các hệ thống thông tin.
Đồng thời tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến
ngƣời quản trị hệ thống.
IDS đƣợc coi là công cụ bảo mật vô cùng quan trọng, nó đƣợc lựa chọn là giải
pháp bảo mật đƣợc bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các
đoạn mã độc hại hoạt động trong hệ thống mạng, có khả năng vƣợt qua đƣợc
Firewall. Nó có thể kết hợp với Firewall hoặc một số công cụ khác để đƣa ra cách
đối phó với những đoạn mã độc đó.
1.2 Chức năng và vai trò của hệ thống phát hiện xâm nhập.
1.2.1 Chức năng nhiệm vụ của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu
hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho
họ, bổ sung những điểm yếu của hệ thống khác…

Số hóa bởi Trung tâm Học liệu – ĐHTN




6

Ngày nay, IDS đã trở nên rất có ích và hiệu quả trong việc phòng chống và
giảm thiểu các nguy cơ tấn công, bảo vệ an toàn cho các hệ thống thông tin. Hệ
thống phát hiện xâm nhập trái phép IDS có các chức năng quan trọng nhất là: Giám
sát – Cảnh báo – Bảo vệ.

+ Giám sát: Lƣu lƣợng mạng và các hoạt động khả nghi.
+ Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
+ Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại bảo vệ sự toàn vẹn
các hệ thống và các file dữ liệu quan trọng.
- Ngoài ra IDS còn có các chức năng mở rộng:
+ Phân biệt: Phân biệt đƣợc những dấu hiệu xâm nhập (tấn công, xuất xứ từ
ngoài tổ chức) và lạm dụng (tấn công, có nguồn gốc trong tổ chức).
+ Phát hiện: Những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lƣợng mạng hiện tại với thông lƣợng gốc (baseline).
Thêm vào đó, hệ thống phát hiện xâm nhập IDS còn có chức năng:
- Ngăn chặn sự gia tăng của những tấn công.
- Bổ sung những điểm yếu mà các hệ thống khác chƣa làm đƣợc.
- Đánh giá chất lƣợng của việc thiết kế hệ thống.
- Lƣu giữ thông tin liên quan đến các đối tƣợng quan sát.
- Kiểm tra tính hiệu quả của firewall giữa các mạng.
- Phong tỏa và kiểm tra đột nhập vào nút xác định của Internet.
- Xuất báo cáo.
Bên cạnh các chức năng trên, thì nhiệm vụ chính của hệ thống phát hiện xâm
nhập trái phép là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu
hiệu tấn công. Việc phát hiện các tấn công phụ thuộc vào số lƣợng và kiểu hành
động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “mồi và bẫy”
đƣợc trang bị cho việc nghiên cứu các mối đe dọa.

Số hóa bởi Trung tâm Học liệu – ĐHTN




7


Ngăn chặn (Prevention)
Mô phỏng (Simulation)

Giám sát xâm nhập (Intrusion Monitoring)
Phân tích (Analysis)

Kiểm tra xâm nhập (Intrusion Detection)
Thông báo ( Notification)

Trả lời ( Response)

Hình 1.2 - Quá trình thực hiện của IDS
Việc làm lệch hƣớng sự tập trung của kẻ xâm nhập vào tài nguyên đƣợc bảo
vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải đƣợc kiểm tra một
cách liên tục. Dữ liệu đƣợc tạo ra từ các hệ thống phát hiện xâm nhập đƣợc kiểm tra
một cách cẩn thận để phát hiện các dấu hiệu tấn công (sự xâm phạm).
Việc phòng chống xâm nhập đòi hỏi một sự kết hợp tốt đƣợc lựa chọn của
"mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hƣớng sự chú ý của
kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của
một dạng IDS riêng biệt (HoneypotIDS). Một khi xâm nhập đã đƣợc phát hiện, hệ
thống IDS phát các cảnh báo đến ngƣời quản trị về sự kiện này. Bƣớc tiếp theo
đƣợc thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS, bằng cách
áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lƣu hệ thống, định
tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý…) tùy
thuộc vào chính sách an ninh của mỗi tổ chức.
Hệ thống IDS là một thành phần của chính sách bảo mật. Trong số các nhiệm
vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó
có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản
patches thích hợp để cho phép phát hiện các cuộc tấn công trong tƣơng lai nhắm

vào mục tiêu cụ thể.

Số hóa bởi Trung tâm Học liệu – ĐHTN




8

1.2.2 Vai trò của hệ thống phát hiện xâm nhập

Hình 1.3 - Mô tả chính sách bảo mật
Hệ thống phát hiện xâm nhập giúp giám sát lƣu thông mạng, các hoạt động
khả nghi và cảnh báo cho hệ thống, nhà quản trị. Nó cũng có thể phân biệt giữa
những tấn công từ bên trong (từ những ngƣời trong công ty) hay tấn công từ bên
ngoài (từ các hacker). Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên
quan trọng và rất đƣợc quan tâm.
Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ
thống mạng để phát hiện những dấu hiệu bất thƣờng trong mạng. Thông thƣờng
những dấu hiệu bất thƣờng là những dấu hiệu của những cuộc tấn công xâm nhập
mạng. IDS sẽ phát những tín hiệu cảnh báo tới ngƣời quản trị mạng.
* Phát hiện các nguy cơ tấn công và truy nhập trái phép
- Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDS, nó có nhiệm
vụ xác định những tấn công và truy nhập trái phép vào hệ thống mạng bên trong.
- Hệ thống IDS có khả năng hỗ trợ phát hiện các nguy cơ an ninh đe dọa
mạng mà các hệ thống khác (nhƣ bức tƣờng lửa) không có, kết hợp với hệ thống
ngăn chặn xâm nhập (IPS) giúp cho hệ thống chặn đứng, hạn chế các cuộc tấn công,
xâm nhập từ bên ngoài.

Số hóa bởi Trung tâm Học liệu – ĐHTN





9

* Tăng khả năng hiểu biết về những gì đang hoạt động trên mạng
IDS cung cấp khả năng giám sát xâm nhập và khả năng mô tả an ninh để
cung cấp kiến thức tổng hợp về những gì đang chạy trên mạng từ góc độ ứng dụng
cũng nhƣ góc độ mạng cùng với khả năng liên kết với phân tích, điều tra an ninh
nhằm đƣa ra các thông tin về hệ thống nhờ đó giúp ngƣời quản trị nắm bắt và hiểu
rõ những gì đang diễn ra trên mạng.
* Khả năng cảnh báo và hỗ trợ ngăn chặn tấn công
- IDS có thể hoạt động trong các chế độ làm việc của một thiết bị giám sát
thụ động (sniffer mode) hỗ trợ cho các thiết bị giám sát chủ động hay nhƣ là một
thiết bị ngăn chặn chủ động (khả năng loại bỏ lƣu lƣợng khả nghi).
- IDS hỗ trợ cho các hệ thống an ninh đƣa ra các quyết định về lƣu lƣợng dựa
trên địa chỉ IP hoặc cổng cũng nhƣ đặc tính của tấn công.
- IDS còn có thể cảnh báo và ghi lại các biến cố cũng nhƣ thực hiện bắt giữ
gói lƣu lƣợng khi phát hiện tấn công để cung cấp cho nhà quản trị mạng các thông
tin để phân tích và điều tra các biến cố.
- Ngay sau khi các phép phân tích và điều tra đƣợc thực hiện, một quy tắc
loại bỏ lƣu lƣợng sẽ đƣợc đƣa ra dựa trên kết quả phân tích, điều tra đó.
- Tổ hợp của những thuộc tính và khả năng này cung cấp cho nhà quản trị
mạng khả năng tích hợp IDS vào mạng và tăng cƣờng an ninh đến một mức độ mà
trƣớc đây không thể đạt đến bằng các biện pháp đơn lẻ nhƣ bức tƣờng lửa.
1.3 Mô hình kiến trúc của hệ thống phát hiện xâm nhập.
Ngày nay ngƣời ta phân biệt các hệ thống IDS khác nhau thông qua việc phân
tích và kiểm tra khác nhau của các hệ thống. Mỗi hệ thống có những ƣu điểm cũng
nhƣ khuyết điểm riêng .

1.3.1 Các thành phần cơ bản:
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính cơ bản sau:
- Thành phần thu thập thông tin (information collection).
- Thành phần phân tích thông tin (detection).
- Thành phần phản hồi (respotion).

Số hóa bởi Trung tâm Học liệu – ĐHTN




10

Trong ba thành phần này thì thành phần phân tích thông tin là quan trọng
nhất và trong thành phần này sensor đóng vai trò quyết định. Sensor đƣợc tích hợp
với thành phần thu thập dữ liệu. Cách thu thập này đƣợc xác định bởi chính sách tạo
sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ
thống. Số chính sách này cùng với thông tin chính sách có thể đƣợc lƣu trong hệ
thống đƣợc bảo vệ hoặc bên ngoài.
- Sensor/ Agent: giám sát và phân tích các hoạt động. “Sensor” thƣờng đƣợc
dùng cho dạng NIDS trong khi “Agent” thƣờng đƣợc dùng cho dạng HIDS.
- Management Server: là một thiết bị trung tâm dùng thu nhận các thông tin từ
Sensor/ Agent và quản lý chúng.
- Database: dùng lƣu trữ thông tin từ Sensor/ Agent hay Management Server.
- Console: là chƣơng trình cung cấp giao diện cho IDS users/ Admins. Có thể
cài đặt trên một máy tính bình thƣờng dùng để phục vụ cho tác vụ quản trị, hoặc để
giám sát, phân tích.

Hình 1.4 - Các thành phần chính của IDS


Số hóa bởi Trung tâm Học liệu – ĐHTN




11

1.3.2 Kiến trúc của hệ thống IDS:
Bộ cảm biến (sensor) là yếu tố cốt lõi trong một hệ thống phát hiện xâm nhập,
nó có trách nhiệm phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối
với sự xâm nhập. Sensor nhận dữ liệu thô từ ba nguồn thông tin chính: kiến thức cơ
bản (knowledge base) của IDS, syslog và audit trail. Các thông tin này tạo cơ sở cho
quá trình ra quyết định sau này.

Hình 1.5- Một ví dụ về IDS
Bộ cảm biến đƣợc tích hợp với thành phần sƣu tập dữ liệu, bộ tạo sự kiện. Cách
sƣu tập này đƣợc xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông
tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính
sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc
các gói mạng. Số chính sách này cùng với thông tin chính sách có thể đƣợc lƣu trong
hệ thống đƣợc bảo vệ hoặc bên ngoài.
Trong những trƣờng hợp nhất định, dữ liệu không đƣợc lƣu trữ mà đƣợc
chuyển trực tiếp đến các phân tích (thông thƣờng áp dụng với các gói packet).
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tƣơng thích đạt đƣợc từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện đƣợc các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngoài ra còn có các thành phần dấu hiệu tấn công, các
hành vi thông thƣờng, các tham số cần thiết (ví dụ: các ngƣỡng). Thêm vào đó, cơ


Số hóa bởi Trung tâm Học liệu – ĐHTN




12

sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với công cụ
đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lƣu về các
xâm nhập phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
Giải pháp kiến trúc đa tác nhân đƣợc đƣa ra năm 1994 là AAFID (các tác nhân tự
trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho
biết một số không bình thƣờng các telnet session bên trong hệ thống nó kiểm tra. Tác
nhân có khả năng đƣa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác
nhân có thể đƣợc nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng
đƣợc bảo vệ và phụ thuộc vào phƣơng pháp đƣợc đƣa ra – tạo phân tích bƣớc đầu
và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS
(IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt đƣợc trang bị sự
phát hiện các tấn công phân tán).

Hình 1.6 - Giải pháp kiến trúc đa tác nhân.
Các vai trò khác của tác nhân liên quan đến khả năng lƣu động và tính roaming
của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc
phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến
nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.

Số hóa bởi Trung tâm Học liệu – ĐHTN





13

Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động đƣợc kiểm soát bởi các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy
nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một host), điều đó
có nghĩa là chúng có thể tƣơng quan với thông tin phân tán. Thêm vào đó một số bộ
lọc có thể đƣợc đƣa ra để chọn lọc và thu thập dữ liệu.
1.4 Phân loại các hệ thống phát hiện xâm nhập
* Phát hiện xâm nhập:
- Là quy trình chính thức đƣợc đặc trƣng bằng việc thu thập các thông tin về
các mẫu sử dụng không bình thƣờng cũng nhƣ làm gì, làm nhƣ thế nào, điểm yếu
nào đã bị khai thác, nó xảy ra nhƣ thế nào và xảy ra khi nào.
- Phát hiện xâm nhập là tập hợp các kỹ thuật và phƣơng pháp đƣợc sử dụng để
phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ. Một IDS nghe ngóng
tất cả các luồng thông tin vào trong các mạng nội bộ để xác định xâm nhập nào đã
bị vi phạm, đang xảy ra, hay đã xảy ra và khả năng phản ứng với xâm nhập, cũng
nhƣ cảnh báo cho ngƣời thích hợp.

Hình 1.7 - Phân loại hệ thống phát hiện xâm nhập
Số hóa bởi Trung tâm Học liệu – ĐHTN




14


* Hệ thống phát hiện xâm nhập trái phép có thể đƣợc mô tả dựa trên nguồn dữ
liệu xử lý. Theo cách mô tả này, có thể phân hệ thống thành hai loại chính là: hostbased IDS và network-based IDS.
1.4.1 Hệ thống phát hiện xâm nhập máy chủ (HIDS)
Những hệ thống HIDS (Host Intrusion Detection System) đƣợc cài đặt nhƣ là
những agent (tác nhân) trên một host, kiểm soát lƣu lƣợng vào ra trên một máy tính,
có thể đƣợc triển khai trên nhiều máy tính trong hệ thống mạng. HIDS thƣờng đƣợc
đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thƣờng là
mục tiêu bị tấn công đầu tiên.
Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả những
hoạt động hệ thống, nhƣ các file log những thông điệp báo lỗi trên hệ thống máy
chủ và những lƣu lƣợng mạng thu thập đƣợc. Trong khi những đầu dò của mạng có
thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể
xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa
trên máy chủ có thể ghi nhận những việc mà ngƣời tấn công đã làm trên máy chủ bị
tấn công (compromised host).

Hình 1.8 - Mô hình HIDS

Số hóa bởi Trung tâm Học liệu – ĐHTN




15

Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm
một số các lựa chọn sau:
- Kiểm tra các tiến trình.
- Kiểm tra các entry của Registry.

- Kiểm tra mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác.
Các thông số này khi vƣợt qua một ngƣỡng định trƣớc hoặc những thay đổi
khả nghi trên hệ thống file sẽ gây ra báo động.
* Lợi thế của HIDS:
- Có khả năng xác định các ngƣời dùng liên quan đến sự kiện.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy; Trong
khi đó NIDS không có khả năng này.
- Có khả năng phân tích các dữ liệu đã đƣợc mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host.
* Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi hệ điều hành bị thoả hiệp do tấn công, tức là HIDS cũng mất tác dụng.
- HIDS phải đƣợc thiết lập trên từng host cần giám sát.
- HIDS không có khả năng phát hiện các cuộc thăm dò mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không phát huy đƣợc hiệu quả khi bị tấn công từ chối dịch vụ DoS.
- Đa số chạy trên hệ điều hành Windows. Tuy nhiên cũng đã có một số ứng
dụng chạy trên hệ điều hành LINUX và những hệ điều hành khác.
- Vì HIDS cần đƣợc cài đặt trên các máy chủ nên sẽ gây khó khăn cho nhà
quản trị khi phải nâng cấp phiên bản, bảo trì phần mềm và cấu hình. Gây mất nhiều
thời gian và phức tạp. Thƣờng hệ thống chỉ phân tích đƣợc những lƣu lƣợng trên
máy chủ nhận đƣợc, còn các lƣu lƣợng chống lại một nhóm máy chủ, hoặc các hành

Số hóa bởi Trung tâm Học liệu – ĐHTN





16

động thăm dò nhƣ quét cổng thì chúng không phát huy đƣợc tác dụng. Nếu máy chủ
bị thoả hiệp hacker có thể tắt đƣợc HIDS trên máy đó. Khi đó HIDS sẽ bị vô hiệu
hoá. Do đó HIDS phải cung cấp đầy đủ khả năng cảnh báo. Trong môi trƣờng hỗn
loạn, phức tạp điều này có thể trở thành vấn đề nếu HIDS phải tƣơng thích với
nhiều hệ điều hành. Do đó, lựa chọn HIDS cũng là vấn đề quan trọng.
1.4.2 Hệ thống phát hiện xâm nhập mạng (NIDS)
NIDS (Network-based Intrusion Detection System) là một giải pháp độc lập
để xác định các truy nhập trái phép bằng cách kiểm tra các luồng thông tin trên
mạng và giám sát nhiều máy trạm, NIDS truy nhập vào luồng thông tin trên mạng
bằng cách kết nối vào các Hub, Switch đƣợc cấu hình Port mirroing hoặc Network
tab để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các cảnh báo.
NIDS đƣợc đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để
giám sát toàn bộ lƣu lƣợng vào ra. Có thể là một thiết bị phần cứng riêng biệt đƣợc
thiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort).
NIDS sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này
theo dõi trên mạng nhằm tìm kiếm những lƣu lƣợng trùng với những mô tả sơ lƣợc
đƣợc định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và phân tích
lƣu lƣợng trong thời gian thực. Khi ghi nhận đƣợc một mẫu lƣu lƣợng hay dấu hiệu,
bộ cảm biến gửi tín hiệu cảnh báo đến ban quản trị và có thể đƣợc cấu hình nhằm
tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor đƣợc
đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã đƣợc
định nghĩa để phát hiện đó là tấn công hay không.

Số hóa bởi Trung tâm Học liệu – ĐHTN





17

Hình 1.9 - Mô hình Network IDS
* Lợi thế của Network IDS:
- Quản lý đƣợc cả một phân đoạn mạng (network segment).
- "Trong suốt" với ngƣời sử dụng lẫn kẻ tấn công.
- Cài đặt và bảo trì đơn giản, không ảnh hƣởng tới mạng.
- Tránh DoS ảnh hƣởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với hệ điều hành (OS).
* Hạn chế của Network IDS:
- Có thể xảy ra trƣờng hợp báo động giả (false positive), tức là không có dấu
hiệu bất thƣờng mà IDS vẫn báo.
- Không thể phân tích các lƣu lƣợng (traffic) đã đƣợc mã hoá (encrypt) nhƣ:
SSL, SSH, IPSec…
- NIDS đòi hỏi phải đƣợc cập nhật các dấu hiệu (signature) mới nhất để thực
sự hoạt động có hiệu quả.
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động đƣợc phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc mạng bị tấn công có thành công hay không, để ngƣời
quản trị tiến hành bảo trì hệ thống.
Số hóa bởi Trung tâm Học liệu – ĐHTN




18

- Giới hạn băng thông do những bộ dò mạng phải nhận tất cả các lƣu lƣợng

mạng, sắp xếp lại những lƣu lƣợng đó cũng nhƣ phân tích chúng.
- Có thể xảy ra hiện tƣợng nghẽn cổ chai khi lƣu lƣợng mạng hoạt động ở mức cao.
1.5 Các kỹ thuật phát hiện xâm nhập của hệ thống IDS.
IDS sử dụng nhiều kỹ thuật khác nhau để phát hiện các hành động xâm nhập
hệ thống trái phép.
Những kỹ thuật cơ bản nhƣ: Dựa trên dấu hiệu, sự kiện bất thƣờng, dựa vào
phân tích trạng thái giao thức và dựa trên mô hình. Thông thƣờng IDS sử dụng
nhiều phƣơng pháp phát hiện xâm nhập và đôi khi cũng sử dụng phƣơng pháp riêng
lẻ kết hợp nhằm phát hiện chính xác các hành động xâm nhập.
1.5.1 Phát hiện dựa vào dấu hiệu ( Signature-base detection)
Dấu hiệu là một mẫu tƣơng ứng với các đe doạ đã biết đƣợc thống kê các đặc
trƣng và lƣu lại trên hệ thống. Hệ thống sẽ thu thập các thông tin liên quan và so
sánh với các dấu hiệu tấn công đƣợc lƣu trữ trong cơ sở dữ liệu để xác định xem
hành động đó có nguy hiểm hay không.
Ví dụ sau đây mô tả cách IDS phát hiện xâm nhập dựa vào dấu hiệu.
* Cố gắng telnet với tên ngƣời dùng "root", điều này vi phạm chính sách an
toàn của hệ thống.
* Thƣ điện tử có đính kèm file "auto.exe" và file này có đặc điểm của mã độc
hại đã biết.

Hình 1.10 - Mô tả dấu hiệu xâm nhập

Số hóa bởi Trung tâm Học liệu – ĐHTN




Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×