Tải bản đầy đủ (.pdf) (95 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Phát hiện xâm nhập, các dang tấn công, mã độc, sử dụng kỹ thuật khai phá dữ liệu

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.15 MB, 95 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-------------------------------------

HÀ MINH ĐỨC

PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƢỜI HƢỚNG DẪN LUẬN VĂN: PGS.TS Nguyễn Linh Giang

Hà Nội – Năm 2016


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-------------------------------------

HÀ MINH ĐỨC

PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU

Chuyên ngành: CÔNG NGHỆ THÔNG TIN

LUẬN VĂN THẠC SỸ KỸ THUẬT
CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC:


PGS.TS Nguyễn Linh Giang

Hà Nội – Năm 2016


LỜI CAM ĐOAN
Luận văn thạc sĩ này do tôi nghiên cứu và thực hiện dƣới sự hƣớng dẫn của
Thầy giáo PGS.TS Nguyễn Linh Giang. Với mục đích học tập, nghiên cứu để
nâng cao kiến thức và trình độ chuyên môn nên tôi đã làm luận văn này một cách
nghiêm túc và hoàn toàn trung thực.
Để hoàn thành bản luận văn này, ngoài các tài liệu tham khảo đã liệt kê, tôi
cam đoan không sao chép toàn văn các công trình hoặc thiết kế tốt nghiệp của ngƣời
khác.

Hà Nội, tháng 10 năm 2016
Học viên

HÀ MINH ĐỨC

Học viên: Hà Minh Đức

i

Luận văn thạc sĩ


LỜI CẢM ƠN
Lời đầu tiên, tôi xin chân thành cảm ơn xâu sắc đối với Thầy giáo PGS. TS
Nguyễn Linh Giang viện công nghệ thông tin và Truyền Thông, đã trực tiếp hƣớng
dẫn , định hƣớng phân tích cụ thể gắn gọn cho tôi nghiên cứu hoàn thành luận văn

cao học này.
Tôi cũng xin gửi lời cảm ơn chân thành tới Phòng đào tạo sau đại học và các
Thầy cô giáo trong viện công nghệ thông tin và truyền thông - Trƣờng Đại Học
Bách Khoa Hà Nội đã giảng dạy, truyền đạt và tạo điều kiện học hỏi, học tập tốt
nhất cho tôi suốt quá trình học cao học cũng nhƣ thời gian thực hiện luận văn cao
học.
Luận văn cũng xin đƣợc cảm ơn với ngƣời thân trong gia đình tôi, mẹ tôi, vợ
tôi, anh trai tôi, bạn bè và các bạn đồng môn lớp cao học 13BCNTT1.

Học viên: Hà Minh Đức

ii

Luận văn thạc sĩ


MỤC LỤC
LỜI CAM ĐOAN ......................................................................................................i
LỜI CẢM ƠN ........................................................................................................... ii
MỤC LỤC ................................................................................................................ iii
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU ............................................................v
THÔNG TIN HÌNH VẼ / BẢNG ........................................................................vi
MỞ ĐẦU ...................................................................................................................1
CHƢƠNG 1. TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, ...........3
CÁC DẠNG TẤN CÔNG MÃ ĐỘC. ......................................................................3
1.1.

LỊCH SỬ RA ĐỜI IDS. .............................................................................3

1.2.


GIỚI THIỆU HỆ THỐNG IDS. ...............................................................3

1.2.1. Một hệ thống IDS bao gồm các thành phần .............................................4
1.2.2. Phân loại các hệ thống IDS. ......................................................................4
1.3. CHỨC NĂNG CỦA IDS ................................................................................8
1.4. KIẾN TRÚC CỦA IDS .................................................................................8
1.4.1. Nguyên lý hoạt động và các nhiệm vụ thực hiện .....................................8
1.4.2. Kiến trúc và thành phần của hệ thống phát hiện xâm nhập IDS. .............9
1.5. PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS .................10
1.6. LỢI ÍCH CỦA IDS: ....................................................................................10
1.7 CÁC DẠNG TẤN CÔNG XÂM NHẬP MẠNG ......................................11
1.7.1. Phƣơng thức ăn cắp thống tin bằng Packet Sniffers ...............................11
1.7.2. Phƣơng thức tấn công mật khẩu Password attack ..................................11
1.7.3. Phƣơng thức tấn công bằng Mail Relay .................................................12
1.7.4. Phƣơng thức tấn công hệ thống DNS .....................................................12
1.7.5. Phƣơng thức tấn công Man-in-the-middle attack ...................................12
1.7.6. Phƣơng thức tấn công để thăm dò mạng ................................................12
1.7.7. Phƣơng thức tấn công Trust exploitation ...............................................13
1.7.8. Phƣơng thức tấn công Port redirection ...................................................13
1.7.9. Phƣơng thức tấn công lớp ứng dụng. ......................................................13
1.7.10. Phƣơng thức tấn Virus và Trojan Horse. ..............................................13
Học viên: Hà Minh Đức

iii

Luận văn thạc sĩ


1.8. MÃ ĐỘC........................................................................................................14

1.8.1. Mã độc là gì? ..........................................................................................14
1.8.2. Phân loại .................................................................................................14
1.8.3 Phòng tránh mã độc .................................................................................14
1.9. KẾT CHƢƠNG ...........................................................................................16
CHƢƠNG 2. KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM ......17
2.1. TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU ..................................................17
2.2. CÁC MÔ HÌNH KHAI PHÁ DỮ LIỆU .....................................................22
2.3. BÀI TOÁN PHÂN CỤM DỮ LIỆU............................................................23
2.3.1. Tổng quan về kỹ thuật phân cụm .............................................................23
2.3.2. Các kỹ thuật phân cụm dữ liệu ................................................................23
2.4. KẾT CHƢƠNG.............................................................................................26
CHƢƠNG 3. PHƢƠNG PHÁP PHÁP HIỆN XÂM NHẬP, SỬ DỤNG KỸ
THUẬT KHAI PHÁ DỮ LIỆU .............................................................................27
3.1. PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS ....27
3.1.1. Thuật toán K-means .................................................................................27
3.1.2. Thuật toán K-means với phát hiện xâm nhập. .........................................35
3.1.3. Xây dựng thử nghiệm trong việc pháp hiện xâm nhập mạng dựa trên
thuật toán K-Means............................................................................................45
3.1.4. Kết quả thực nghiệm và đánh giá. ...........................................................58
3.2. PHÁP HIỆN XÂM NHẬP MẠNG VỚI THUẬT TOÁN PHÂN CỤM KMEDOIDS. ...........................................................................................................63
3.2.1. Thuật toán phân cụm K-Medoids. ...........................................................63
3.2.2. Thuật toán K-Medoids với phát hiện xâm nhập. .....................................69
3.2.3. Kết quả thực nghiệm và đánh giá. ...........................................................71
3.3. KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU .................................................79
3.3.1 Kết luận .....................................................................................................80
3.3.2. Hƣớng nghiên cứu ...................................................................................80
TÀI LIỆU THAM KHẢO ......................................................................................81
PHỤ LỤC………………………………………………………………………………....93

Học viên: Hà Minh Đức


iv

Luận văn thạc sĩ


BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
Từ viết tắt

Đầy đủ tiếng Anh

Tiếng Việt

ACK

Acknowledgement

Xác nhận

ANN

Artificial Neural Network

Mạng Neuron nhân tạo

CSDL

Database

Cơ sở dữ liệu


DoS

Denial of Service

Tấn công từ chối dịch vụ

FSM

Finite states machine

Máy trạng thái hữu hạn

Host-based Intrusion

Hệ thống phát hiện truy cập cho máy

Detection System

trạm

Internet Control Message

Giao thức thông báo điều khiển

Protocol

innernet

Instrusion Detection System


Hệ thống phát hiện truy cập trái phép

IP

Internet Protocol

Giao thức Internet

IPS

Intrusion Prevension System

Hệ thống ngăn chặn truy cập trái phép

HIDS
ICMP
IDS

KDD

Knowledge Discovery in

Khám phá tri thức trong CSDL

Database

KPDL

data mining


Khai phá dữ liệu

LAN

Local area network

Mạng cục bộ

NIDS

Network-based Intrusion

PCDL

Data Clustering

R2L

Remote to Local

SNMP
TCP

Hệ thống phát hiện truy cập cho mạng

Detection System

Phân cụm dữ liệu
Dạng tấn công điều khiển từ xa vào

máy tính cục bộ

Simple Network

Giao thức quản lý mạng đơn giản

Management Protocol
Transmission Control

Giao thức truyền dữ liệu TCP

Protocol

TTL

Time to Live

Thiết lập thời gian tồn tại của datagram

U2R

User to Root

Dạng tấn công vào thƣ mục gốc

UDP

User Datagram Protocol

Giao thức gói ngƣời dùng


Học viên: Hà Minh Đức

v

Luận văn thạc sĩ


THÔNG TIN HÌNH VẼ
HÌNH 1.1: HỆ THỐNG NETWORK-BASED INTRUSION DETECTION ...........4
HÌNH 1.2: HỆ THỐNG HOST-BASED INTRUSION DETECTION .....................5
HÌNH 1.3: KẾT HỢP NIDS VÀ HIDS. .....................................................................8
HÌNH 1.4: HOẠT ĐỘNG CỦA IDS .........................................................................9
HÌNH 1.5: MÔ HÌNH KIẾN TRÚC HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)
.....................................................................................................................................9
HÌNH 2.1: CÁC CHIẾN LƢỢC PHÂN CỤM PHÂN CẤP ...................................25
HÌNH 3.1: VÍ DỤ VỀ PHÂN NHÓM ĐỐI TƢỢNG ..............................................27
HÌNH 3.2: CÁCH THIẾT LẬP ĐỂ XÁC ĐỊNH RANH GIỚI CÁC CỤM BAN
ĐẦU ..........................................................................................................................28
HÌNH 3.3: MÔ TẢ ĐỘ KHOẢNG CÁCH GIỮA CÁC ĐỐI TƢỢNG..................29
HÌNH 3.4: SƠ ĐỒ THUẬT TOÁN PHÂN NHÓM K-MEANS .......................31
HÌNH 3.5: MÔ HÌNH HỆ THỐNG PHÁP HIỆN BẤT THƢỜNG ........................39
HÌNH 3.6: BỐN QUAN HỆ CỦA MỘT CUỘC TẤN CÔNG ...............................42
HÌNH 3.7: MÔ TẢ HOẠT ĐỘNG CỦA MÔ ĐUN TỔNG HỢP ..........................43
HÌNH 3.8: GIẢM SỐ BẢN GHI CHO FILE ĐẦU VÀO CỦA CHƢƠNG TRÌNH
...................................................................................................................................49
HÌNH 3.9: XEM VÀ CHỈNH SỬA CHO FILE ĐẦU VÀO CỦA CHƢƠNG
TRÌNH NẾU CẦN....................................................................................................50
HÌNH 3.10: DỮ LIỆU CỦA CHƢƠNG TRÌNH MỞ BẰNG NOTEPAD .............50
HÌNH 3.11: GIAO DIỆN CHỌN BỘ DỮ LIỆU .....................................................52

HÌNH 3.12: HIỂN THỊ CHI TIẾT DỮ LIỆU ĐẦU VÀO. .....................................53
HÌNH 3.13: THỰC HIỆN THUẬTT TOÁN K-MEANS........................................53
HÌNH 3.14: HIỆU CHỈNH THAM SỐ PHÂN CỤM..............................................54
HÌNH 3.15: DỮ LIỆU ĐẦU VÀO WEKA 3.8 CỦA 10% KDD CUP99 VỚI 42
THUỘC TÍNH ..........................................................................................................55
HÌNH 3.16: DỮ LIỆU ĐẦU VÀO WEKA-3-8-0JRE CỦA 10% KDD CUP99 VỚI
38 THUỘC TÍNH .....................................................................................................57

Học viên: Hà Minh Đức

vi

Luận văn thạc sĩ


HÌNH 3.17: KẾT QUẢ ĐÁNH GIÁ PHÂN CỤM THUẬT TOÁN K-MEANS
TRÊN WAKA 3.8 .....................................................................................................58
HÌNH 3.18: MÃ GIẢ ĐỂ MÔ TẢ THUẬT TOÁN ................................................70
HÌNH 3.19: CÀI ĐẶT MỘT SỐ THUẬT TOÁN XỬ LÝ CHÍNH BẰNG NGÔN
NGỮ C# ....................................................................................................................71

Học viên: Hà Minh Đức

vii

Luận văn thạc sĩ


THÔNG TIN BẢNG


BẢNG 3.1: DANH SÁCH CÁC CẢNH BÁO CHƢA RÚT GỌN ........................44
BẢNG 3.2: DANH SÁCH CÁC CẢNH BÁO SAU KHI ĐÃ RÚT GỌN ............ 45
BẢNG 3.3: CÁC THUỘC TÍNH CƠ BẢN (NHÓM NÀY CHỨA TẤT CẢ CÁC
THUỘC TÍNH CÓ ĐƢỢC TỪ MỘT KẾT NỐI TCP / IP) CONTINUOUS: LIÊN
TỤC, DISCRETE: RỜI RẠC. .................................................................................47
BẢNG 3.4: CÁC THUỘC TÍNH LƢU THÔNG (NHÓM NÀY BAO GỒM CÁC
THUỘC TÍNH MÀ NÓ ĐƢỢC TÍNH TOÁN VỚI KHOẢNG THỜI GIAN MỘT
CỬA SỔ).................................................................................................................. 47
BẢNG 3.5: CÁC THUỘC TÍNH NỘI DUNG ....................................................... 48
BẢNG 3.6: CÁC DẠNG TẤN CÔNG THỰC TẾ CỦA DỮ LIỆU ĐẦY ĐỦ KDD
CUP99 ...................................................................................................................... 59
BẢNG 3.7: DỮ LIỆU THỰC NGHIỆM BAN ĐẦU 10% KDD CUP99 ..............60
BẢNG 3.8: THỐNG KÊ KẾT QUẢ PHÂN CỤM K-MEANS .............................61
BẢNG 3.9: KẾT QUẢ PHÂN CỤM ...................................................................... 62
BẢNG 3.10: BẢNG ĐÁNH GIÁ KHẢ NĂNG PHÁT HIỆN XÂM NHẬP KMEANS ....................................................................................................................62
BẢNG 3.11: CÁC DẠNG TẤN CÔNG THỰC TẾ CỦA DỮ LIỆU ĐẦY ĐỦ
KDD CUP99 ............................................................................................................ 72
BẢNG 3.12: DỮ LIỆU THỰC NGHIỆM BAN ĐẦU 10% KDD CUP99 ............73
BẢNG 3.12: BẢNG DỮ LIỆU KẾT QUẢ K-MEDOIDS .....................................77
BẢNG 3.13: KẾT QUẢ ĐÁNH GIÁ TỔNG HỢP ................................................78
BẢNG 3.14: ĐÁNH GIÁ KHẢ NĂNG PHÁT HIỆN XÂM NHẬP K-MEDOIDS……...78

Học viên: Hà Minh Đức

viii

Luận văn thạc sĩ


MỞ ĐẦU

Đặt vấn đề
Với sự bùng nổ của internet ở khắp mọi nơi, mọi ngóc ngách, mọi cá nhân,
công ty, tổ chức, quốc gia, có nguy cơ bị xâm phạm mạng ngày càng cao. Hiện nay
xâm phạm mạng trái phép là điểm nóng của an ninh quốc gia. Lấy một ví dụ đơn
giản, ngày 1/6/2015, Bkav đã có thông báo về đợt tấn công của nhóm hacker đến từ
Trung Quốc mang tên 1937cn diễn ra trong 2 ngày 30/5 và 31/5/2015 Theo đó,
trong đợt tấn công này, đã có hơn 1.200 website của Việt Nam và Philippines bị tấn
công. Trong đó có khoảng 1.000 website của Việt Nam, với 15 trang “.gov.vn” và
50 trang “.edu.vn”. Trƣớc tình hình đó an ninh mạng cần phải có những chiếm lƣợc,
những giải pháp phòng thủ bảo mật, chặt chẽ, an toàn, hiệu quả.
Đã có nhiều phƣơng pháp sử dụng nhƣ tƣờng lửa (Firewall), mã hóa mạng dạng
riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép (IDS - Instrusion Detection
System) là một hệ thống gần đây đƣợc đông đảo những ngƣời liên quan đến bảo
mật khá quan tâm , IDS phát hiện các cuộc tấn công một cách kịp thời, giảm các tổn
thất do các cuộc tấn công gây ra ở mức độ thấp nhất. IDS hoạt động rất đa dạng ,
hay bị nhầm lẫn với hệ thống kiểm tra lƣu lƣợng mạng, các bộ quét bảo mật, tƣờng
lửa, phần mền chống virus. Mục đích chính IDS: Phát hiện kịp thời để có thể ngăn
chặn các cuộc tấn công trƣớc khi chúng gây hại cho hệ thống.
Ngoài chức năng cung cấp và phân tích các gói tin trên mạng, IDS còn đƣa ra
những cảnh báo nhƣ sau: Các sự kiện tấn công, phƣơng pháp tấn công, nguồn gốc
tân công, dấu hiệu tấn công.
IDS có khả năng chống lại các cuộc tấn công mới, nó còn phân biệt đƣợc giữa
tấn công bên trong (từ nhân viên và khách hàng) và tấn công từ bên ngoài (tấn công
từ hacker) và IDS có khả bảo mật tốt với các phƣơng pháp bảo mật truyền thống .
Một tính năng khá quan trọng của IDS là cung cấp thông tin hành động không bình
thƣờng và đƣa ra cảnh báo cho quản trị viên khóa các kết nối đang tấn công. IDS
đã đƣợc nghiên cứu, phát triển rộng trên thế giới và đóng vai trò quan trọng trong
chính sách bảo mật.

Học viên: Hà Minh Đức


1

Luận văn thạc sĩ


IDS có thể kết hợp với tƣờng lửa vì:
+ phát hiện tấn công từ bên trong.
+ Các cuộc tấn công tinh vi đều thất bại.
+ Các cuộc tấn công qua đƣợc tƣờng lủa sẽ bị chặn lại bởi IDS.
+ Nếu hệ thống tƣờng lủa cấu hình sai IDS sẽ kiểm tra lại 2 lần.
Nội dung của đề tài
Xuất phát từ vấn đề nêu trên, nội dung của đề tài sẽ bao gồm những vấn đề sau:
-

Tìm hiểu về hệ thống phát hiện xâm nhập IDS.

-

Các dạng tấn công xâm nhập mạng, Mã độc, trong các hệ thống phát hiện
xâm nhập mạng máy tính.

-

Khai phá dữ liệu và các kỹ thuật phân cụm

-

Phát hiện xâm nhập mạng với thuật toán phân cụm K-Means


-

Nghiên cứu cụ thể một kỹ thuật sử dụng trong phát hiện bất thƣờng pháp
hiện xâm nhập dựa trên thuật toán phân cụm k-Medoids. Xây dựng thử
nghiệm trong việc pháp hiện xâm nhập dựa trên thuật toán phân cụm kMedoids. Đƣa ra Kết quả thực nghiệm và đánh giá và so sánh.

Cấu trúc luận văn
Luận văn sẽ đƣợc chia thành 3 chƣơng chính dựa vào nội dung nêu trên:
-

Chƣơng 1: TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, CÁC

DẠNG TẤN CÔNG, MÃ ĐỘC.
-

Chƣơng 2: KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM

-

Chƣơng 3 PHƢƠNG PHÁT PHÁP HIỆN XÂM NHẬP, SỬ DỤNG KỸ
THUẬT KHAI PHÁ DỮ LIỆU.

Học viên: Hà Minh Đức

2

Luận văn thạc sĩ


CHƢƠNG 1. TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS,

CÁC DẠNG TẤN CÔNG MÃ ĐỘC.
1.1.

Lịch sử ra đời IDS.
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một

bài báo của James Anderson. Khi đó ngƣời ta cần IDS với mục đích là dò tìm và
nghiên cứu các hành vi bất thƣờng và thái độ của ngƣời sử dụng trong mạng, phát
hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên
cứu về hệ thống phát hiện xâm nhập đƣợc nghiên cứu chính thức từ năm 1983 đến
năm 1988 trƣớc khi đƣợc sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho
đến tận năm 1996, các khái niệm IDS vẫn chƣa đƣợc phổ biến, một số hệ thống IDS
chỉ đƣợc xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong
thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của
công nghệ thông tin. Đến năm 1997 IDS mới đƣợc biết đến rộng rãi và thực sự đem
lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm
quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh
đƣợc sử dụng nhiều nhất và vẫn còn phát triển.
1.2. Giới thiệu hệ thống IDS.
IDS là từ viết tắt tiếng anh của Intrusion Detection System hay còn gọi là hệ
thống phát hiện các truy nhập trái phép. Có nhiệm vụ rà soát các gói tin trên mạng
và cảnh báo cho quản trị viên về phát hiện các truy nhập trái phép. Fivewall hạn chế
đƣợc các cuộc tấn công tiền tàng và bảo mật cả hệ thống, nhƣng tƣờng lửa giống
nhƣ một bức tƣờng thành vững chắc nhƣng không linh động nhƣ IDS, là những đội
quân có thể rà soát đƣợc bên trong (từ những ngƣời trong công ty), bên ngoài (từ
các hacker) và các tệp tin đi qua nó.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống nhƣ cách
các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus)
hay dựa trên so sánh lƣu thông mạng hiện tại với baseline (thông số đo đạc chuẩn

của hệ thống) để tìm ra các dấu hiệu khác thƣờng.

Học viên: Hà Minh Đức

3

Luận văn thạc sĩ


1.2.1. Một hệ thống IDS bao gồm các thành phần
Bộ phát hiện (Sensor): Bộ phát hiện có chức năng rà quét nội dung của các
gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn
công hay còn gọi là các sự kiện. Bộ giao diện (Console): Là bộ phận làm nhiệm vụ
giám sát các sự kiện và điều khiển hoạt động của các bộ Sensor. Bộ xử lý (Engine):
Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện đƣợc phát hiện bởi các Sensor
trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đƣa ra các cảnh báo
cho ngƣời quản trị viên. Các mẫu (Signatures): Các Sensor hoạt động theo cơ chế
“so sánh với mẫu”, Thông thƣờng các mẫu (Signatures) này đƣợc hình thành dựa
trên kinh nghiệm phòng chống các cuộc tấn công, ngƣời ta thành lập các trung tâm
chuyên nghiên cứu và đƣa ra các mẫu này để cung cấp cho hệ thống IDS trên toàn
thế giới.
1.2.2. Phân loại các hệ thống IDS.
1.2.2.1. Network-based Intrusion Detection System (NIDS)
Network-based Instrusion Detection System (Hệ thống phát hiện truy nhập cho
mạng) là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm
tra các luồng thông tin trên mạng và giám sát nhiều máy trạm.

Hình 1.1: Hệ thống Network-based Intrusion Detection

Học viên: Hà Minh Đức


4

Luận văn thạc sĩ


Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensor
đƣợc đặt trƣớc miền DMZ hoặc ở vùng biên của mạng.
1.2.2.2. Host-based Intrusion Detection System (HIDS)
Trong hệ thống HIDS (Hệ thống phát hiện truy nhập dựa trên máy trạm), các Sensor
thƣờng thƣờng là một phần mềm trên máy.

Hình 1.2: Hệ thống Host-based Intrusion Detection
Hybrid Intrusion Detection System
Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Networkbased IDS và Hệ thống Host-based IDS. Nó kết hợp một hoặc nhiều các thành
phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu thập đƣợc trên máy
trạm (Host agent data) kết hợp với thông tin thu thập đƣợc ở trên mạng để có đƣợc
sự phân tích một cách chi tiết về hiện trạng hệ thống mạng.
 Lợi thế của Network-Based IDSs:
- Quản lý đƣợc cả một network segment (gồm nhiều host)

Học viên: Hà Minh Đức

5

Luận văn thạc sĩ


- "Trong suốt" với ngƣời sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hƣởng tới mạng

- Tránh DOS ảnh hƣởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
 Hạn chế của Network-Based IDSs:
- Có thể xảy ra trƣờng hợp báo động giả (false positive), tức không có intrusion mà
NIDS báo là có intrusion.
- Không thể phân tích các traffic đã đƣợc encrypt (vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải đƣợc cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
đƣợc phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc sự tấn công có thành công hay không.
Host Based IDS (HIDS)
HIDS thƣờng đƣợc cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
HIDS thƣờng đƣợc đặt trên các host xung yếu của tổ chức, và các server trong
vùng DMZ - thƣờng là mục tiêu bị tấn công đầu tiên. Nhiệm vụ chính của HIDS là
giám sát các thay đổi trên hệ thống, bao gồm (not all):
 Các tiến trình.
 Các entry của Registry.
 Mức độ sử dụng CPU.
 Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
 Một vài thông số khác.
Các thông số này khi vƣợt qua một ngƣỡng định trƣớc hoặc những thay đổi khả
nghi trên hệ thống file sẽ gây ra báo động.
Lợi thế của HIDS:
 Có khả năng xác đinh user liên quan tới một event.

Học viên: Hà Minh Đức

6


Luận văn thạc sĩ


 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải đƣợc thiết lập trên từng host cần giám sát .
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…).
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.
 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy đƣợc
trên UNIX và những hệ điều hành khác.
DIDS
DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor.

Học viên: Hà Minh Đức

7

Luận văn thạc sĩ


Hình 1.3: Kết hợp NIDS và HIDS.

DIDS có khả năng xử lý tập trung, giúp cho ngƣời quản trị có khả năng theo dõi
toàn bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với
nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung
tâm ISC (Internet Storm Center) của viện SANS.
1.3. Chức năng của IDS
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
 Giám sát: lƣu lƣợng mạng và các hoạt động khả nghi.
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
 Bảo vệ:
 Chức năng mở rộng:
Phân biệt: tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lƣợng mạng hiện tại với baseline.
 Ngăn chặn sự gia tăng của những tấn công
 Bổ sung những điểm yếu mà các hệ thống khác chƣa làm đƣợc
 Đánh giá chất lƣợng của việc thiết kế hệ thống
1.4. Kiến trúc của IDS
1.4.1. Nguyên lý hoạt động và các nhiệm vụ thực hiện
Các nhiệm vụ IDS thực hiện

prevention
Simulation
Intrustion Monitoring (thu thập thông tin)
Analysis (sự phân tích)
Intruction detection (xuất thông tin cảnh báo)
Notification
Respose

Học viên: Hà Minh Đức


8

Luận văn thạc sĩ


Hình 1.4: Hoạt động của IDS
Dữ liệu đƣợc tạo ra từ các hệ thống phát hiện xâm nhập đƣợc kiểm tra một cách cẩn
thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự
xâm phạm). Việc làm lệnh hƣớng sự tập trung của kẻ xâm nhập vào tài nguyên
đƣợc bảo vệ là một nhiệm vụ quan trọng khác.
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng
(Intrustion Montorring).
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành
động nào là tấn công (Intruction detection).
- Xuất thông tin cảnh báo (response): hành động cảnh báo cho sự tấn công đƣợc
phân tích ở trên nhờ bộ phận (thông báo - Notification).
1.4.2. Kiến trúc và thành phần của hệ thống phát hiện xâm nhập IDS.
- Thành phần thu thập thông tin gói tin (information collection).
- Thành phần phát hiện, phân tích gói tin (Dectection).
- Thành phần xử lý, phản hồi (respontion).

Hình 1.5: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)
- Thành phần thu thập gói tin Thành phần này có nhiệm vụ lấy tất các gói tin đi đến
mạng. Thông thƣờng các gói tin có địa chỉ không phải của một card mạng thì sẽ bị
card mạng đó huỷ bỏ nhƣng card mạng của IDS đƣợc đặt ở chế độ thu nhận tất cả.
Tất cả các gói tin qua chúng đều đƣợc sao chụp, xử lý, phân tích đến từng trƣờng
thông tin. Bộ phận thu thập gói tin sẽ đọc thông tin từng trƣờng trong gói tin, xác
Học viên: Hà Minh Đức

9


Luận văn thạc sĩ


định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này đƣợc chuyển đến
thành phần phát hiện tấn công.
- Thành phần phát hiện gói tin là quan trọng nhất, ở thành phần này, các bộ cảm
biến đóng vai trò quyết định. Vai trò của bộ cảm biến là dùng để lọc thông tin và
loại bỏ những thông tin dữ liệu không tƣơng thích đạt đƣợc từ các sự kiện liên quan
tới hệ thống bảo vệ, vì vậy có thể phát hiện đƣợc các hành động nghi ngờ.
- Thành phần xử lý, phản hồi Khi có dấu hiệu của sự tấn công hoặc thâm nhập,
thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc
thâm nhập đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt
tƣờng lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới ngƣời
quản trị.
1.5. Phân biệt những hệ thống không phải là IDS
Các thiết bị bảo mật dƣới đây không phải là IDS:
 Hệ thống đăng nhập mạng đƣợc sử dụng để phát hiện lỗ hổng đối với vấn
đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm
tra lƣu lƣợng mạng.
 Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
 Các sản phẩm chống virus đƣợc thiết kế để phát hiện các phần mềm mã
nguy hiểm nhƣ virus, trojan horse, worm,...Mặc dù những tính năng mặc định có
thể giống IDS và thƣờng cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
 Tƣờng lửa – firewall
 Các hệ thống bảo mật, mật mã nhƣ: SSL, Kerberos, VPN,..
1.6. Lợi ích của IDS:
Hệ thống phát hiện xâm nhập là một phần bổ sung cần thiết của các phƣơng pháp
bảo vệ an ninh truyền thống nhƣ là firewall và mã hóa dữ liệu, bởi vì nó có thể cung

cấp bảo vệ thời gian thực chống lại các tấn công từ bên trong, tấn công từ bên ngoài
và các hoạt động lỗi (misoperations) .

Học viên: Hà Minh Đức

10

Luận văn thạc sĩ


IDS đƣợc chia thành hai loại chính: HIDS (Host Intrustion Detection System):
triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy.
NIDS (Network Intrustion Detection System): đặt tại những điểm quan trọng của hệ
thống mạng, để phát hiện xâm nhập cho khu vực đó.
Lợi thế của hệ thống này là có thể phát hiện đƣợc những kiểu tấn công chƣa biết
trƣớc. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá
chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh
báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình
thƣờng, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ
thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó
đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trƣớc những nguy cơ tấn công,
mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện đƣợc những nguy cơ
tiềm ẩn dựa trên những phân tích và báo cáo đƣợc IDS cung cấp. Từ đó, hệ thống
IDS có thể góp phần loại trừ đƣợc một cách đáng kể những lỗ hổng về bảo mật
trong môi trƣờng mạng.
1.7. Các dạng tấn công xâm nhập mạng
1.7.1. Phương thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chƣơng trình ứng dụng bắt giữ đƣợc tất cả các các gói lƣu chuyển trên
mạng (trên một collision domain). Sniffer thƣờng đƣợc dùng cho troubleshooting

network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua
mạng dƣới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một
công cụ cho hacker để bắt các thông tin nhạy cảm nhƣ là username, password, và từ
đó có thể truy xuất vào các thành phần khác của mạng.
1.7.2. Phương thức tấn công mật khẩu Password attack
Các hacker tấn công password bằng một số phƣơng pháp nhƣ: brute-force attack,
chƣơng trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet
sniffer và IP spoofing có thể lấy đƣợc user account và password, nhƣ hacker lại
thƣờng sử dụng brute-force để lấy user account hơn.

Học viên: Hà Minh Đức

11

Luận văn thạc sĩ


Tấn công brute-force đƣợc thực hiện bằng cách dùng một chƣơng trình chạy trên
mạng, cố gắng login vào các phần share trên server băng phƣơng pháp “thử và sai”
passwork.
1.7.3. Phương thức tấn công bằng Mail Relay
Đây là phƣơng pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn
hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email
server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình
thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công
Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ
hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó.
1.7.4. Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là
hệ thống quan trọng nhất trong hệ thống máy chủ.

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại
nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.7.5. Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập đƣợc các gói mạng của mạng. Một
ví dụ về tấn công này là một ngƣời làm việc tại ISP, có thể bắt đƣợc tấc cả các gói
mạng của công ty khách hàng cũng nhƣ tất cả các gói mạng của các công ty khác
thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào
mạng riêng của công ty khách hàng. Tấn công dạng này đƣợc thực hiện nhờ một
packet sniffer.
1.7.6. Phương thức tấn công để thăm dò mạng
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng.
khi một hacker cố gắng chọc thủng một mạng, thƣờng thì họ phải thu thập đƣợc

Học viên: Hà Minh Đức

12

Luận văn thạc sĩ


thông tin về mạng càng nhiều càng tốt trƣớc khi tấn công. Điều này có thể thực hiện
bởi các công cụ nhƣ DNS queries, ping sweep, hay port scan.
1.7.7. Phương thức tấn công Trust exploitation
Loại tấn công kiểu này đƣợc thực hiện bằng cách tận dụng mối quan hệ tin cậy đối
với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin
cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker
có thể lần theo quan hệ đó để tấn công vào bên trong firewall.

1.7.8. Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị
đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể
truy nhập đƣợc một host trên DMZ, nhƣng không thể vào đƣợc host ở inside. Host ở
DMZ có thể vào đƣợc host ở inside, cũng nhƣ outside. Nếu hacker chọc thủng đƣợc
host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hƣớng traffic từ
host outside đến host inside.
1.7.9. Phương thức tấn công lớp ứng dụng.
Tấn công lớp ứng dụng đƣợc thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm nhƣ
sendmail, HTTP, hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những
port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng
TCP port 80, mail server bằng TCP port 25.
1.7.10. Phương thức tấn Virus và Trojan Horse.
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa
thành Trojan (Trojan horse). Virus là một phần mềm có hại, đƣợc đính kèm vào một
chƣơng trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse
thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để
chạy một game đơn giản ở máy workstation. Trong khi ngƣời dùng đang mãi mê
chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book.

Học viên: Hà Minh Đức

13

Luận văn thạc sĩ


Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm nhƣ vậy, gởi đến tất cả

các địa chỉ mail có trong address book của user đó.
1.8. Mã độc.
1.8.1. Mã độc là gì?
Mã độc là các phần mềm độc hại đƣợc viết với mục đích có thể lây lan phát tán
(hoặc không lây lan, phát tán) trên hệ thống máy tính và internet, nhằm thực hiện
các hành vi bất hợp pháp (hoặc có thể hợp pháp, ví dụ nhƣ các addon quảng cáo
đƣợc thực thi một cách hợp pháp trên máy tính ngƣời dùng, nhƣng không theo ý
muốn của ngƣời sử dụng máy tính), hành vi nhằm vào ngƣời dùng cá nhân, cơ quan,
tổ chức.
1.8.2. Phân loại


Trojan: phá hoại máy tính nhƣ: xoá file, ngăn chặn ngƣời dùng kết nối
internet…



Worm: Giống phá hoại máy tính, nó có thể tự nhân bản để thực hiện lây nhiễm
qua nhiều máy tính



Spyware: là phần mềm cài đặt trên máy tính ngƣời dùng nhằm thu thập các
thông tin ngƣời dùng một cách bí mật.



Adware: phần mềm quảng cáo, là các phần mềm tự động tải, pop up, hiển thị
hình ảnh và các thông tin quảng cáo để ép ngƣời dùng đọc, xem.




Ransomware: phần mềm khi lây nhiễm vào máy tính nó sẽ kiểm soát hệ thống
yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại điều khiển với hệ thống.



Virus: lấy file từ máy tính này sang máy tính khác dƣới nhiều hình thức khác
nhau, virus thực hiện các hành vi phá hoại, lấy cắp thông tin…



Rootkit: phần mềm có khả năng che giấu danh tính của nó trong hệ thống, các
phần mềm antivirus từ đó có thể hỗ trợ các module khác tấn công

1.8.3 Phòng tránh mã độc
Mã độc thật sự rất nguy hiểm với ngƣời sử dụng thông thƣờng. Nhƣ vậy, cần có
một phƣơng pháp phòng tránh và ngăn chặn đơn giản nhất cho tất cả ngƣời dùng

Học viên: Hà Minh Đức

14

Luận văn thạc sĩ




Luôn luôn cài đặt và sử dụng một phần mềm diệt virus chính hãng. Ví dụ:
Kaspersky, Bitdifender, Avast, Norton, Bkav, …




Xây dựng chính sách với các thiết bị PnP: các thiết bị loại này: USB, CD/DVD,
… virus có thể lợi dụng để thực thi mà không cần sự cho phép của ngƣời dùng.
Do đó, cần thiết lập lại chế độ cho các thiết bị sử dụng thiết bị USB, ta không
nên mở trực tiếp bằng cách chọn ổ đĩa rồi nhấn phím Enter, hoặc nhấp đôi
chuột vào biểu tƣợng mà nên bấm chuột phải rồi click vào explore.



Thiết lập quy tắc đối xử với các file: Không nên mở hoặc tải về các file không
rõ nguồn gốc, đăc biệt là các file thực thi (các file có đuôi .exe, .dll, …). Với các
file này, ta tiến hành quét bằng phần mềm diệt virus hoặc thực hiện kiểm tra trực
tiếp trên website: Khi có sự bất thƣờng cần dừng
thực thi file.



Truy cập web an toàn: truy cập web khiến máy tính dễ dàng bị nhiễm mã
độc: Không nên truy cập vào các trang web đen, các trang web độc hại, có nội
dung không lành mạnh, không tuy tiện click vào các url từ các email hoặc từ nội
dung chat, trên các website, … Các website và url thƣờng chứa các mã độc khi
ngƣời dùng click, nó sẽ tự động tải về, thiết lập cài đặt để thực thi hợp pháp trên
máy tính ngƣời dùng. Ví dụ các máy của các nhân viên văn phòng hầu hết đều bị
cài đặt các addon hoặc các phần mềm quảng cáo do quá trình duyệt web của
ngƣời dùng đã cho phép addon hoặc phần mềm quảng cáo đó thực thi.




Cập nhật máy tính, phần mềm: Thƣờng xuyên cập nhật các bản vá đƣợc cung
cấp từ hệ điều hành, các bản vá cho các ứng dụng đang sử dụng và đặc biệt là
cập nhật chƣơng trình diệt virus. Đây là yếu tố quan trọng để tránh đƣợc các loại
mã độc lợi dụng các lỗ hổng để lây lan, đồng thời cũng cập nhật đƣợc các mẫu
mã độc mới giúp phần mềm diệt virus.



Nhờ chuyên gia can thiệp: Ngƣời dùng khách hàng cần phải hiểu biết tác hại tổn
thất mà mã độc gây ra. Khi không diệt đƣợc vi rút cần gọi sự giúp đỡ các chuyên
gia để kiểm tra máy tính, pháp hiện và tiêu diệt ngay.

Học viên: Hà Minh Đức

15

Luận văn thạc sĩ


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×