BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-------------------------------------
HÀ MINH ĐỨC
PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƢỜI HƢỚNG DẪN LUẬN VĂN: PGS.TS Nguyễn Linh Giang
Hà Nội – Năm 2016
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-------------------------------------
HÀ MINH ĐỨC
PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU
Chuyên ngành: CÔNG NGHỆ THÔNG TIN
LUẬN VĂN THẠC SỸ KỸ THUẬT
CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC:
PGS.TS Nguyễn Linh Giang
Hà Nội – Năm 2016
LỜI CAM ĐOAN
Luận văn thạc sĩ này do tôi nghiên cứu và thực hiện dƣới sự hƣớng dẫn của
Thầy giáo PGS.TS Nguyễn Linh Giang. Với mục đích học tập, nghiên cứu để
nâng cao kiến thức và trình độ chuyên môn nên tôi đã làm luận văn này một cách
nghiêm túc và hoàn toàn trung thực.
Để hoàn thành bản luận văn này, ngoài các tài liệu tham khảo đã liệt kê, tôi
cam đoan không sao chép toàn văn các công trình hoặc thiết kế tốt nghiệp của ngƣời
khác.
Hà Nội, tháng 10 năm 2016
Học viên
HÀ MINH ĐỨC
Học viên: Hà Minh Đức
i
Luận văn thạc sĩ
LỜI CẢM ƠN
Lời đầu tiên, tôi xin chân thành cảm ơn xâu sắc đối với Thầy giáo PGS. TS
Nguyễn Linh Giang viện công nghệ thông tin và Truyền Thông, đã trực tiếp hƣớng
dẫn , định hƣớng phân tích cụ thể gắn gọn cho tôi nghiên cứu hoàn thành luận văn
cao học này.
Tôi cũng xin gửi lời cảm ơn chân thành tới Phòng đào tạo sau đại học và các
Thầy cô giáo trong viện công nghệ thông tin và truyền thông - Trƣờng Đại Học
Bách Khoa Hà Nội đã giảng dạy, truyền đạt và tạo điều kiện học hỏi, học tập tốt
nhất cho tôi suốt quá trình học cao học cũng nhƣ thời gian thực hiện luận văn cao
học.
Luận văn cũng xin đƣợc cảm ơn với ngƣời thân trong gia đình tôi, mẹ tôi, vợ
tôi, anh trai tôi, bạn bè và các bạn đồng môn lớp cao học 13BCNTT1.
Học viên: Hà Minh Đức
ii
Luận văn thạc sĩ
MỤC LỤC
LỜI CAM ĐOAN ......................................................................................................i
LỜI CẢM ƠN ........................................................................................................... ii
MỤC LỤC ................................................................................................................ iii
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU ............................................................v
THÔNG TIN HÌNH VẼ / BẢNG ........................................................................vi
MỞ ĐẦU ...................................................................................................................1
CHƢƠNG 1. TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, ...........3
CÁC DẠNG TẤN CÔNG MÃ ĐỘC. ......................................................................3
1.1.
LỊCH SỬ RA ĐỜI IDS. .............................................................................3
1.2.
GIỚI THIỆU HỆ THỐNG IDS. ...............................................................3
1.2.1. Một hệ thống IDS bao gồm các thành phần .............................................4
1.2.2. Phân loại các hệ thống IDS. ......................................................................4
1.3. CHỨC NĂNG CỦA IDS ................................................................................8
1.4. KIẾN TRÚC CỦA IDS .................................................................................8
1.4.1. Nguyên lý hoạt động và các nhiệm vụ thực hiện .....................................8
1.4.2. Kiến trúc và thành phần của hệ thống phát hiện xâm nhập IDS. .............9
1.5. PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS .................10
1.6. LỢI ÍCH CỦA IDS: ....................................................................................10
1.7 CÁC DẠNG TẤN CÔNG XÂM NHẬP MẠNG ......................................11
1.7.1. Phƣơng thức ăn cắp thống tin bằng Packet Sniffers ...............................11
1.7.2. Phƣơng thức tấn công mật khẩu Password attack ..................................11
1.7.3. Phƣơng thức tấn công bằng Mail Relay .................................................12
1.7.4. Phƣơng thức tấn công hệ thống DNS .....................................................12
1.7.5. Phƣơng thức tấn công Man-in-the-middle attack ...................................12
1.7.6. Phƣơng thức tấn công để thăm dò mạng ................................................12
1.7.7. Phƣơng thức tấn công Trust exploitation ...............................................13
1.7.8. Phƣơng thức tấn công Port redirection ...................................................13
1.7.9. Phƣơng thức tấn công lớp ứng dụng. ......................................................13
1.7.10. Phƣơng thức tấn Virus và Trojan Horse. ..............................................13
Học viên: Hà Minh Đức
iii
Luận văn thạc sĩ
1.8. MÃ ĐỘC........................................................................................................14
1.8.1. Mã độc là gì? ..........................................................................................14
1.8.2. Phân loại .................................................................................................14
1.8.3 Phòng tránh mã độc .................................................................................14
1.9. KẾT CHƢƠNG ...........................................................................................16
CHƢƠNG 2. KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM ......17
2.1. TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU ..................................................17
2.2. CÁC MÔ HÌNH KHAI PHÁ DỮ LIỆU .....................................................22
2.3. BÀI TOÁN PHÂN CỤM DỮ LIỆU............................................................23
2.3.1. Tổng quan về kỹ thuật phân cụm .............................................................23
2.3.2. Các kỹ thuật phân cụm dữ liệu ................................................................23
2.4. KẾT CHƢƠNG.............................................................................................26
CHƢƠNG 3. PHƢƠNG PHÁP PHÁP HIỆN XÂM NHẬP, SỬ DỤNG KỸ
THUẬT KHAI PHÁ DỮ LIỆU .............................................................................27
3.1. PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS ....27
3.1.1. Thuật toán K-means .................................................................................27
3.1.2. Thuật toán K-means với phát hiện xâm nhập. .........................................35
3.1.3. Xây dựng thử nghiệm trong việc pháp hiện xâm nhập mạng dựa trên
thuật toán K-Means............................................................................................45
3.1.4. Kết quả thực nghiệm và đánh giá. ...........................................................58
3.2. PHÁP HIỆN XÂM NHẬP MẠNG VỚI THUẬT TOÁN PHÂN CỤM KMEDOIDS. ...........................................................................................................63
3.2.1. Thuật toán phân cụm K-Medoids. ...........................................................63
3.2.2. Thuật toán K-Medoids với phát hiện xâm nhập. .....................................69
3.2.3. Kết quả thực nghiệm và đánh giá. ...........................................................71
3.3. KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU .................................................79
3.3.1 Kết luận .....................................................................................................80
3.3.2. Hƣớng nghiên cứu ...................................................................................80
TÀI LIỆU THAM KHẢO ......................................................................................81
PHỤ LỤC………………………………………………………………………………....93
Học viên: Hà Minh Đức
iv
Luận văn thạc sĩ
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
Từ viết tắt
Đầy đủ tiếng Anh
Tiếng Việt
ACK
Acknowledgement
Xác nhận
ANN
Artificial Neural Network
Mạng Neuron nhân tạo
CSDL
Database
Cơ sở dữ liệu
DoS
Denial of Service
Tấn công từ chối dịch vụ
FSM
Finite states machine
Máy trạng thái hữu hạn
Host-based Intrusion
Hệ thống phát hiện truy cập cho máy
Detection System
trạm
Internet Control Message
Giao thức thông báo điều khiển
Protocol
innernet
Instrusion Detection System
Hệ thống phát hiện truy cập trái phép
IP
Internet Protocol
Giao thức Internet
IPS
Intrusion Prevension System
Hệ thống ngăn chặn truy cập trái phép
HIDS
ICMP
IDS
KDD
Knowledge Discovery in
Khám phá tri thức trong CSDL
Database
KPDL
data mining
Khai phá dữ liệu
LAN
Local area network
Mạng cục bộ
NIDS
Network-based Intrusion
PCDL
Data Clustering
R2L
Remote to Local
SNMP
TCP
Hệ thống phát hiện truy cập cho mạng
Detection System
Phân cụm dữ liệu
Dạng tấn công điều khiển từ xa vào
máy tính cục bộ
Simple Network
Giao thức quản lý mạng đơn giản
Management Protocol
Transmission Control
Giao thức truyền dữ liệu TCP
Protocol
TTL
Time to Live
Thiết lập thời gian tồn tại của datagram
U2R
User to Root
Dạng tấn công vào thƣ mục gốc
UDP
User Datagram Protocol
Giao thức gói ngƣời dùng
Học viên: Hà Minh Đức
v
Luận văn thạc sĩ
THÔNG TIN HÌNH VẼ
HÌNH 1.1: HỆ THỐNG NETWORK-BASED INTRUSION DETECTION ...........4
HÌNH 1.2: HỆ THỐNG HOST-BASED INTRUSION DETECTION .....................5
HÌNH 1.3: KẾT HỢP NIDS VÀ HIDS. .....................................................................8
HÌNH 1.4: HOẠT ĐỘNG CỦA IDS .........................................................................9
HÌNH 1.5: MÔ HÌNH KIẾN TRÚC HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)
.....................................................................................................................................9
HÌNH 2.1: CÁC CHIẾN LƢỢC PHÂN CỤM PHÂN CẤP ...................................25
HÌNH 3.1: VÍ DỤ VỀ PHÂN NHÓM ĐỐI TƢỢNG ..............................................27
HÌNH 3.2: CÁCH THIẾT LẬP ĐỂ XÁC ĐỊNH RANH GIỚI CÁC CỤM BAN
ĐẦU ..........................................................................................................................28
HÌNH 3.3: MÔ TẢ ĐỘ KHOẢNG CÁCH GIỮA CÁC ĐỐI TƢỢNG..................29
HÌNH 3.4: SƠ ĐỒ THUẬT TOÁN PHÂN NHÓM K-MEANS .......................31
HÌNH 3.5: MÔ HÌNH HỆ THỐNG PHÁP HIỆN BẤT THƢỜNG ........................39
HÌNH 3.6: BỐN QUAN HỆ CỦA MỘT CUỘC TẤN CÔNG ...............................42
HÌNH 3.7: MÔ TẢ HOẠT ĐỘNG CỦA MÔ ĐUN TỔNG HỢP ..........................43
HÌNH 3.8: GIẢM SỐ BẢN GHI CHO FILE ĐẦU VÀO CỦA CHƢƠNG TRÌNH
...................................................................................................................................49
HÌNH 3.9: XEM VÀ CHỈNH SỬA CHO FILE ĐẦU VÀO CỦA CHƢƠNG
TRÌNH NẾU CẦN....................................................................................................50
HÌNH 3.10: DỮ LIỆU CỦA CHƢƠNG TRÌNH MỞ BẰNG NOTEPAD .............50
HÌNH 3.11: GIAO DIỆN CHỌN BỘ DỮ LIỆU .....................................................52
HÌNH 3.12: HIỂN THỊ CHI TIẾT DỮ LIỆU ĐẦU VÀO. .....................................53
HÌNH 3.13: THỰC HIỆN THUẬTT TOÁN K-MEANS........................................53
HÌNH 3.14: HIỆU CHỈNH THAM SỐ PHÂN CỤM..............................................54
HÌNH 3.15: DỮ LIỆU ĐẦU VÀO WEKA 3.8 CỦA 10% KDD CUP99 VỚI 42
THUỘC TÍNH ..........................................................................................................55
HÌNH 3.16: DỮ LIỆU ĐẦU VÀO WEKA-3-8-0JRE CỦA 10% KDD CUP99 VỚI
38 THUỘC TÍNH .....................................................................................................57
Học viên: Hà Minh Đức
vi
Luận văn thạc sĩ
HÌNH 3.17: KẾT QUẢ ĐÁNH GIÁ PHÂN CỤM THUẬT TOÁN K-MEANS
TRÊN WAKA 3.8 .....................................................................................................58
HÌNH 3.18: MÃ GIẢ ĐỂ MÔ TẢ THUẬT TOÁN ................................................70
HÌNH 3.19: CÀI ĐẶT MỘT SỐ THUẬT TOÁN XỬ LÝ CHÍNH BẰNG NGÔN
NGỮ C# ....................................................................................................................71
Học viên: Hà Minh Đức
vii
Luận văn thạc sĩ
THÔNG TIN BẢNG
BẢNG 3.1: DANH SÁCH CÁC CẢNH BÁO CHƢA RÚT GỌN ........................44
BẢNG 3.2: DANH SÁCH CÁC CẢNH BÁO SAU KHI ĐÃ RÚT GỌN ............ 45
BẢNG 3.3: CÁC THUỘC TÍNH CƠ BẢN (NHÓM NÀY CHỨA TẤT CẢ CÁC
THUỘC TÍNH CÓ ĐƢỢC TỪ MỘT KẾT NỐI TCP / IP) CONTINUOUS: LIÊN
TỤC, DISCRETE: RỜI RẠC. .................................................................................47
BẢNG 3.4: CÁC THUỘC TÍNH LƢU THÔNG (NHÓM NÀY BAO GỒM CÁC
THUỘC TÍNH MÀ NÓ ĐƢỢC TÍNH TOÁN VỚI KHOẢNG THỜI GIAN MỘT
CỬA SỔ).................................................................................................................. 47
BẢNG 3.5: CÁC THUỘC TÍNH NỘI DUNG ....................................................... 48
BẢNG 3.6: CÁC DẠNG TẤN CÔNG THỰC TẾ CỦA DỮ LIỆU ĐẦY ĐỦ KDD
CUP99 ...................................................................................................................... 59
BẢNG 3.7: DỮ LIỆU THỰC NGHIỆM BAN ĐẦU 10% KDD CUP99 ..............60
BẢNG 3.8: THỐNG KÊ KẾT QUẢ PHÂN CỤM K-MEANS .............................61
BẢNG 3.9: KẾT QUẢ PHÂN CỤM ...................................................................... 62
BẢNG 3.10: BẢNG ĐÁNH GIÁ KHẢ NĂNG PHÁT HIỆN XÂM NHẬP KMEANS ....................................................................................................................62
BẢNG 3.11: CÁC DẠNG TẤN CÔNG THỰC TẾ CỦA DỮ LIỆU ĐẦY ĐỦ
KDD CUP99 ............................................................................................................ 72
BẢNG 3.12: DỮ LIỆU THỰC NGHIỆM BAN ĐẦU 10% KDD CUP99 ............73
BẢNG 3.12: BẢNG DỮ LIỆU KẾT QUẢ K-MEDOIDS .....................................77
BẢNG 3.13: KẾT QUẢ ĐÁNH GIÁ TỔNG HỢP ................................................78
BẢNG 3.14: ĐÁNH GIÁ KHẢ NĂNG PHÁT HIỆN XÂM NHẬP K-MEDOIDS……...78
Học viên: Hà Minh Đức
viii
Luận văn thạc sĩ
MỞ ĐẦU
Đặt vấn đề
Với sự bùng nổ của internet ở khắp mọi nơi, mọi ngóc ngách, mọi cá nhân,
công ty, tổ chức, quốc gia, có nguy cơ bị xâm phạm mạng ngày càng cao. Hiện nay
xâm phạm mạng trái phép là điểm nóng của an ninh quốc gia. Lấy một ví dụ đơn
giản, ngày 1/6/2015, Bkav đã có thông báo về đợt tấn công của nhóm hacker đến từ
Trung Quốc mang tên 1937cn diễn ra trong 2 ngày 30/5 và 31/5/2015 Theo đó,
trong đợt tấn công này, đã có hơn 1.200 website của Việt Nam và Philippines bị tấn
công. Trong đó có khoảng 1.000 website của Việt Nam, với 15 trang “.gov.vn” và
50 trang “.edu.vn”. Trƣớc tình hình đó an ninh mạng cần phải có những chiếm lƣợc,
những giải pháp phòng thủ bảo mật, chặt chẽ, an toàn, hiệu quả.
Đã có nhiều phƣơng pháp sử dụng nhƣ tƣờng lửa (Firewall), mã hóa mạng dạng
riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép (IDS - Instrusion Detection
System) là một hệ thống gần đây đƣợc đông đảo những ngƣời liên quan đến bảo
mật khá quan tâm , IDS phát hiện các cuộc tấn công một cách kịp thời, giảm các tổn
thất do các cuộc tấn công gây ra ở mức độ thấp nhất. IDS hoạt động rất đa dạng ,
hay bị nhầm lẫn với hệ thống kiểm tra lƣu lƣợng mạng, các bộ quét bảo mật, tƣờng
lửa, phần mền chống virus. Mục đích chính IDS: Phát hiện kịp thời để có thể ngăn
chặn các cuộc tấn công trƣớc khi chúng gây hại cho hệ thống.
Ngoài chức năng cung cấp và phân tích các gói tin trên mạng, IDS còn đƣa ra
những cảnh báo nhƣ sau: Các sự kiện tấn công, phƣơng pháp tấn công, nguồn gốc
tân công, dấu hiệu tấn công.
IDS có khả năng chống lại các cuộc tấn công mới, nó còn phân biệt đƣợc giữa
tấn công bên trong (từ nhân viên và khách hàng) và tấn công từ bên ngoài (tấn công
từ hacker) và IDS có khả bảo mật tốt với các phƣơng pháp bảo mật truyền thống .
Một tính năng khá quan trọng của IDS là cung cấp thông tin hành động không bình
thƣờng và đƣa ra cảnh báo cho quản trị viên khóa các kết nối đang tấn công. IDS
đã đƣợc nghiên cứu, phát triển rộng trên thế giới và đóng vai trò quan trọng trong
chính sách bảo mật.
Học viên: Hà Minh Đức
1
Luận văn thạc sĩ
IDS có thể kết hợp với tƣờng lửa vì:
+ phát hiện tấn công từ bên trong.
+ Các cuộc tấn công tinh vi đều thất bại.
+ Các cuộc tấn công qua đƣợc tƣờng lủa sẽ bị chặn lại bởi IDS.
+ Nếu hệ thống tƣờng lủa cấu hình sai IDS sẽ kiểm tra lại 2 lần.
Nội dung của đề tài
Xuất phát từ vấn đề nêu trên, nội dung của đề tài sẽ bao gồm những vấn đề sau:
-
Tìm hiểu về hệ thống phát hiện xâm nhập IDS.
-
Các dạng tấn công xâm nhập mạng, Mã độc, trong các hệ thống phát hiện
xâm nhập mạng máy tính.
-
Khai phá dữ liệu và các kỹ thuật phân cụm
-
Phát hiện xâm nhập mạng với thuật toán phân cụm K-Means
-
Nghiên cứu cụ thể một kỹ thuật sử dụng trong phát hiện bất thƣờng pháp
hiện xâm nhập dựa trên thuật toán phân cụm k-Medoids. Xây dựng thử
nghiệm trong việc pháp hiện xâm nhập dựa trên thuật toán phân cụm kMedoids. Đƣa ra Kết quả thực nghiệm và đánh giá và so sánh.
Cấu trúc luận văn
Luận văn sẽ đƣợc chia thành 3 chƣơng chính dựa vào nội dung nêu trên:
-
Chƣơng 1: TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, CÁC
DẠNG TẤN CÔNG, MÃ ĐỘC.
-
Chƣơng 2: KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM
-
Chƣơng 3 PHƢƠNG PHÁT PHÁP HIỆN XÂM NHẬP, SỬ DỤNG KỸ
THUẬT KHAI PHÁ DỮ LIỆU.
Học viên: Hà Minh Đức
2
Luận văn thạc sĩ
CHƢƠNG 1. TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS,
CÁC DẠNG TẤN CÔNG MÃ ĐỘC.
1.1.
Lịch sử ra đời IDS.
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một
bài báo của James Anderson. Khi đó ngƣời ta cần IDS với mục đích là dò tìm và
nghiên cứu các hành vi bất thƣờng và thái độ của ngƣời sử dụng trong mạng, phát
hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên
cứu về hệ thống phát hiện xâm nhập đƣợc nghiên cứu chính thức từ năm 1983 đến
năm 1988 trƣớc khi đƣợc sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho
đến tận năm 1996, các khái niệm IDS vẫn chƣa đƣợc phổ biến, một số hệ thống IDS
chỉ đƣợc xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong
thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của
công nghệ thông tin. Đến năm 1997 IDS mới đƣợc biết đến rộng rãi và thực sự đem
lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm
quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh
đƣợc sử dụng nhiều nhất và vẫn còn phát triển.
1.2. Giới thiệu hệ thống IDS.
IDS là từ viết tắt tiếng anh của Intrusion Detection System hay còn gọi là hệ
thống phát hiện các truy nhập trái phép. Có nhiệm vụ rà soát các gói tin trên mạng
và cảnh báo cho quản trị viên về phát hiện các truy nhập trái phép. Fivewall hạn chế
đƣợc các cuộc tấn công tiền tàng và bảo mật cả hệ thống, nhƣng tƣờng lửa giống
nhƣ một bức tƣờng thành vững chắc nhƣng không linh động nhƣ IDS, là những đội
quân có thể rà soát đƣợc bên trong (từ những ngƣời trong công ty), bên ngoài (từ
các hacker) và các tệp tin đi qua nó.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống nhƣ cách
các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus)
hay dựa trên so sánh lƣu thông mạng hiện tại với baseline (thông số đo đạc chuẩn
của hệ thống) để tìm ra các dấu hiệu khác thƣờng.
Học viên: Hà Minh Đức
3
Luận văn thạc sĩ
1.2.1. Một hệ thống IDS bao gồm các thành phần
Bộ phát hiện (Sensor): Bộ phát hiện có chức năng rà quét nội dung của các
gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn
công hay còn gọi là các sự kiện. Bộ giao diện (Console): Là bộ phận làm nhiệm vụ
giám sát các sự kiện và điều khiển hoạt động của các bộ Sensor. Bộ xử lý (Engine):
Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện đƣợc phát hiện bởi các Sensor
trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đƣa ra các cảnh báo
cho ngƣời quản trị viên. Các mẫu (Signatures): Các Sensor hoạt động theo cơ chế
“so sánh với mẫu”, Thông thƣờng các mẫu (Signatures) này đƣợc hình thành dựa
trên kinh nghiệm phòng chống các cuộc tấn công, ngƣời ta thành lập các trung tâm
chuyên nghiên cứu và đƣa ra các mẫu này để cung cấp cho hệ thống IDS trên toàn
thế giới.
1.2.2. Phân loại các hệ thống IDS.
1.2.2.1. Network-based Intrusion Detection System (NIDS)
Network-based Instrusion Detection System (Hệ thống phát hiện truy nhập cho
mạng) là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm
tra các luồng thông tin trên mạng và giám sát nhiều máy trạm.
Hình 1.1: Hệ thống Network-based Intrusion Detection
Học viên: Hà Minh Đức
4
Luận văn thạc sĩ
Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensor
đƣợc đặt trƣớc miền DMZ hoặc ở vùng biên của mạng.
1.2.2.2. Host-based Intrusion Detection System (HIDS)
Trong hệ thống HIDS (Hệ thống phát hiện truy nhập dựa trên máy trạm), các Sensor
thƣờng thƣờng là một phần mềm trên máy.
Hình 1.2: Hệ thống Host-based Intrusion Detection
Hybrid Intrusion Detection System
Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Networkbased IDS và Hệ thống Host-based IDS. Nó kết hợp một hoặc nhiều các thành
phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu thập đƣợc trên máy
trạm (Host agent data) kết hợp với thông tin thu thập đƣợc ở trên mạng để có đƣợc
sự phân tích một cách chi tiết về hiện trạng hệ thống mạng.
Lợi thế của Network-Based IDSs:
- Quản lý đƣợc cả một network segment (gồm nhiều host)
Học viên: Hà Minh Đức
5
Luận văn thạc sĩ
- "Trong suốt" với ngƣời sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hƣởng tới mạng
- Tránh DOS ảnh hƣởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
Hạn chế của Network-Based IDSs:
- Có thể xảy ra trƣờng hợp báo động giả (false positive), tức không có intrusion mà
NIDS báo là có intrusion.
- Không thể phân tích các traffic đã đƣợc encrypt (vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải đƣợc cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
đƣợc phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc sự tấn công có thành công hay không.
Host Based IDS (HIDS)
HIDS thƣờng đƣợc cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
HIDS thƣờng đƣợc đặt trên các host xung yếu của tổ chức, và các server trong
vùng DMZ - thƣờng là mục tiêu bị tấn công đầu tiên. Nhiệm vụ chính của HIDS là
giám sát các thay đổi trên hệ thống, bao gồm (not all):
Các tiến trình.
Các entry của Registry.
Mức độ sử dụng CPU.
Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
Một vài thông số khác.
Các thông số này khi vƣợt qua một ngƣỡng định trƣớc hoặc những thay đổi khả
nghi trên hệ thống file sẽ gây ra báo động.
Lợi thế của HIDS:
Có khả năng xác đinh user liên quan tới một event.
Học viên: Hà Minh Đức
6
Luận văn thạc sĩ
HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
Có thể phân tích các dữ liệu mã hoá.
Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
HIDS phải đƣợc thiết lập trên từng host cần giám sát .
HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…).
HIDS cần tài nguyên trên host để hoạt động.
HIDS có thể không hiệu quả khi bị DOS.
Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy đƣợc
trên UNIX và những hệ điều hành khác.
DIDS
DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor.
Học viên: Hà Minh Đức
7
Luận văn thạc sĩ
Hình 1.3: Kết hợp NIDS và HIDS.
DIDS có khả năng xử lý tập trung, giúp cho ngƣời quản trị có khả năng theo dõi
toàn bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với
nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung
tâm ISC (Internet Storm Center) của viện SANS.
1.3. Chức năng của IDS
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
Giám sát: lƣu lƣợng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Bảo vệ:
Chức năng mở rộng:
Phân biệt: tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lƣợng mạng hiện tại với baseline.
Ngăn chặn sự gia tăng của những tấn công
Bổ sung những điểm yếu mà các hệ thống khác chƣa làm đƣợc
Đánh giá chất lƣợng của việc thiết kế hệ thống
1.4. Kiến trúc của IDS
1.4.1. Nguyên lý hoạt động và các nhiệm vụ thực hiện
Các nhiệm vụ IDS thực hiện
prevention
Simulation
Intrustion Monitoring (thu thập thông tin)
Analysis (sự phân tích)
Intruction detection (xuất thông tin cảnh báo)
Notification
Respose
Học viên: Hà Minh Đức
8
Luận văn thạc sĩ
Hình 1.4: Hoạt động của IDS
Dữ liệu đƣợc tạo ra từ các hệ thống phát hiện xâm nhập đƣợc kiểm tra một cách cẩn
thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự
xâm phạm). Việc làm lệnh hƣớng sự tập trung của kẻ xâm nhập vào tài nguyên
đƣợc bảo vệ là một nhiệm vụ quan trọng khác.
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng
(Intrustion Montorring).
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành
động nào là tấn công (Intruction detection).
- Xuất thông tin cảnh báo (response): hành động cảnh báo cho sự tấn công đƣợc
phân tích ở trên nhờ bộ phận (thông báo - Notification).
1.4.2. Kiến trúc và thành phần của hệ thống phát hiện xâm nhập IDS.
- Thành phần thu thập thông tin gói tin (information collection).
- Thành phần phát hiện, phân tích gói tin (Dectection).
- Thành phần xử lý, phản hồi (respontion).
Hình 1.5: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)
- Thành phần thu thập gói tin Thành phần này có nhiệm vụ lấy tất các gói tin đi đến
mạng. Thông thƣờng các gói tin có địa chỉ không phải của một card mạng thì sẽ bị
card mạng đó huỷ bỏ nhƣng card mạng của IDS đƣợc đặt ở chế độ thu nhận tất cả.
Tất cả các gói tin qua chúng đều đƣợc sao chụp, xử lý, phân tích đến từng trƣờng
thông tin. Bộ phận thu thập gói tin sẽ đọc thông tin từng trƣờng trong gói tin, xác
Học viên: Hà Minh Đức
9
Luận văn thạc sĩ
định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này đƣợc chuyển đến
thành phần phát hiện tấn công.
- Thành phần phát hiện gói tin là quan trọng nhất, ở thành phần này, các bộ cảm
biến đóng vai trò quyết định. Vai trò của bộ cảm biến là dùng để lọc thông tin và
loại bỏ những thông tin dữ liệu không tƣơng thích đạt đƣợc từ các sự kiện liên quan
tới hệ thống bảo vệ, vì vậy có thể phát hiện đƣợc các hành động nghi ngờ.
- Thành phần xử lý, phản hồi Khi có dấu hiệu của sự tấn công hoặc thâm nhập,
thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc
thâm nhập đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt
tƣờng lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới ngƣời
quản trị.
1.5. Phân biệt những hệ thống không phải là IDS
Các thiết bị bảo mật dƣới đây không phải là IDS:
Hệ thống đăng nhập mạng đƣợc sử dụng để phát hiện lỗ hổng đối với vấn
đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm
tra lƣu lƣợng mạng.
Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
Các sản phẩm chống virus đƣợc thiết kế để phát hiện các phần mềm mã
nguy hiểm nhƣ virus, trojan horse, worm,...Mặc dù những tính năng mặc định có
thể giống IDS và thƣờng cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
Tƣờng lửa – firewall
Các hệ thống bảo mật, mật mã nhƣ: SSL, Kerberos, VPN,..
1.6. Lợi ích của IDS:
Hệ thống phát hiện xâm nhập là một phần bổ sung cần thiết của các phƣơng pháp
bảo vệ an ninh truyền thống nhƣ là firewall và mã hóa dữ liệu, bởi vì nó có thể cung
cấp bảo vệ thời gian thực chống lại các tấn công từ bên trong, tấn công từ bên ngoài
và các hoạt động lỗi (misoperations) .
Học viên: Hà Minh Đức
10
Luận văn thạc sĩ
IDS đƣợc chia thành hai loại chính: HIDS (Host Intrustion Detection System):
triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy.
NIDS (Network Intrustion Detection System): đặt tại những điểm quan trọng của hệ
thống mạng, để phát hiện xâm nhập cho khu vực đó.
Lợi thế của hệ thống này là có thể phát hiện đƣợc những kiểu tấn công chƣa biết
trƣớc. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá
chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh
báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình
thƣờng, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ
thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó
đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trƣớc những nguy cơ tấn công,
mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện đƣợc những nguy cơ
tiềm ẩn dựa trên những phân tích và báo cáo đƣợc IDS cung cấp. Từ đó, hệ thống
IDS có thể góp phần loại trừ đƣợc một cách đáng kể những lỗ hổng về bảo mật
trong môi trƣờng mạng.
1.7. Các dạng tấn công xâm nhập mạng
1.7.1. Phương thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chƣơng trình ứng dụng bắt giữ đƣợc tất cả các các gói lƣu chuyển trên
mạng (trên một collision domain). Sniffer thƣờng đƣợc dùng cho troubleshooting
network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua
mạng dƣới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một
công cụ cho hacker để bắt các thông tin nhạy cảm nhƣ là username, password, và từ
đó có thể truy xuất vào các thành phần khác của mạng.
1.7.2. Phương thức tấn công mật khẩu Password attack
Các hacker tấn công password bằng một số phƣơng pháp nhƣ: brute-force attack,
chƣơng trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet
sniffer và IP spoofing có thể lấy đƣợc user account và password, nhƣ hacker lại
thƣờng sử dụng brute-force để lấy user account hơn.
Học viên: Hà Minh Đức
11
Luận văn thạc sĩ
Tấn công brute-force đƣợc thực hiện bằng cách dùng một chƣơng trình chạy trên
mạng, cố gắng login vào các phần share trên server băng phƣơng pháp “thử và sai”
passwork.
1.7.3. Phương thức tấn công bằng Mail Relay
Đây là phƣơng pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn
hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email
server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình
thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công
Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ
hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó.
1.7.4. Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là
hệ thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại
nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.7.5. Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập đƣợc các gói mạng của mạng. Một
ví dụ về tấn công này là một ngƣời làm việc tại ISP, có thể bắt đƣợc tấc cả các gói
mạng của công ty khách hàng cũng nhƣ tất cả các gói mạng của các công ty khác
thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào
mạng riêng của công ty khách hàng. Tấn công dạng này đƣợc thực hiện nhờ một
packet sniffer.
1.7.6. Phương thức tấn công để thăm dò mạng
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng.
khi một hacker cố gắng chọc thủng một mạng, thƣờng thì họ phải thu thập đƣợc
Học viên: Hà Minh Đức
12
Luận văn thạc sĩ
thông tin về mạng càng nhiều càng tốt trƣớc khi tấn công. Điều này có thể thực hiện
bởi các công cụ nhƣ DNS queries, ping sweep, hay port scan.
1.7.7. Phương thức tấn công Trust exploitation
Loại tấn công kiểu này đƣợc thực hiện bằng cách tận dụng mối quan hệ tin cậy đối
với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin
cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker
có thể lần theo quan hệ đó để tấn công vào bên trong firewall.
1.7.8. Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị
đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể
truy nhập đƣợc một host trên DMZ, nhƣng không thể vào đƣợc host ở inside. Host ở
DMZ có thể vào đƣợc host ở inside, cũng nhƣ outside. Nếu hacker chọc thủng đƣợc
host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hƣớng traffic từ
host outside đến host inside.
1.7.9. Phương thức tấn công lớp ứng dụng.
Tấn công lớp ứng dụng đƣợc thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm nhƣ
sendmail, HTTP, hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những
port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng
TCP port 80, mail server bằng TCP port 25.
1.7.10. Phương thức tấn Virus và Trojan Horse.
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa
thành Trojan (Trojan horse). Virus là một phần mềm có hại, đƣợc đính kèm vào một
chƣơng trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse
thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để
chạy một game đơn giản ở máy workstation. Trong khi ngƣời dùng đang mãi mê
chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book.
Học viên: Hà Minh Đức
13
Luận văn thạc sĩ
Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm nhƣ vậy, gởi đến tất cả
các địa chỉ mail có trong address book của user đó.
1.8. Mã độc.
1.8.1. Mã độc là gì?
Mã độc là các phần mềm độc hại đƣợc viết với mục đích có thể lây lan phát tán
(hoặc không lây lan, phát tán) trên hệ thống máy tính và internet, nhằm thực hiện
các hành vi bất hợp pháp (hoặc có thể hợp pháp, ví dụ nhƣ các addon quảng cáo
đƣợc thực thi một cách hợp pháp trên máy tính ngƣời dùng, nhƣng không theo ý
muốn của ngƣời sử dụng máy tính), hành vi nhằm vào ngƣời dùng cá nhân, cơ quan,
tổ chức.
1.8.2. Phân loại
Trojan: phá hoại máy tính nhƣ: xoá file, ngăn chặn ngƣời dùng kết nối
internet…
Worm: Giống phá hoại máy tính, nó có thể tự nhân bản để thực hiện lây nhiễm
qua nhiều máy tính
Spyware: là phần mềm cài đặt trên máy tính ngƣời dùng nhằm thu thập các
thông tin ngƣời dùng một cách bí mật.
Adware: phần mềm quảng cáo, là các phần mềm tự động tải, pop up, hiển thị
hình ảnh và các thông tin quảng cáo để ép ngƣời dùng đọc, xem.
Ransomware: phần mềm khi lây nhiễm vào máy tính nó sẽ kiểm soát hệ thống
yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại điều khiển với hệ thống.
Virus: lấy file từ máy tính này sang máy tính khác dƣới nhiều hình thức khác
nhau, virus thực hiện các hành vi phá hoại, lấy cắp thông tin…
Rootkit: phần mềm có khả năng che giấu danh tính của nó trong hệ thống, các
phần mềm antivirus từ đó có thể hỗ trợ các module khác tấn công
1.8.3 Phòng tránh mã độc
Mã độc thật sự rất nguy hiểm với ngƣời sử dụng thông thƣờng. Nhƣ vậy, cần có
một phƣơng pháp phòng tránh và ngăn chặn đơn giản nhất cho tất cả ngƣời dùng
Học viên: Hà Minh Đức
14
Luận văn thạc sĩ
Luôn luôn cài đặt và sử dụng một phần mềm diệt virus chính hãng. Ví dụ:
Kaspersky, Bitdifender, Avast, Norton, Bkav, …
Xây dựng chính sách với các thiết bị PnP: các thiết bị loại này: USB, CD/DVD,
… virus có thể lợi dụng để thực thi mà không cần sự cho phép của ngƣời dùng.
Do đó, cần thiết lập lại chế độ cho các thiết bị sử dụng thiết bị USB, ta không
nên mở trực tiếp bằng cách chọn ổ đĩa rồi nhấn phím Enter, hoặc nhấp đôi
chuột vào biểu tƣợng mà nên bấm chuột phải rồi click vào explore.
Thiết lập quy tắc đối xử với các file: Không nên mở hoặc tải về các file không
rõ nguồn gốc, đăc biệt là các file thực thi (các file có đuôi .exe, .dll, …). Với các
file này, ta tiến hành quét bằng phần mềm diệt virus hoặc thực hiện kiểm tra trực
tiếp trên website: Khi có sự bất thƣờng cần dừng
thực thi file.
Truy cập web an toàn: truy cập web khiến máy tính dễ dàng bị nhiễm mã
độc: Không nên truy cập vào các trang web đen, các trang web độc hại, có nội
dung không lành mạnh, không tuy tiện click vào các url từ các email hoặc từ nội
dung chat, trên các website, … Các website và url thƣờng chứa các mã độc khi
ngƣời dùng click, nó sẽ tự động tải về, thiết lập cài đặt để thực thi hợp pháp trên
máy tính ngƣời dùng. Ví dụ các máy của các nhân viên văn phòng hầu hết đều bị
cài đặt các addon hoặc các phần mềm quảng cáo do quá trình duyệt web của
ngƣời dùng đã cho phép addon hoặc phần mềm quảng cáo đó thực thi.
Cập nhật máy tính, phần mềm: Thƣờng xuyên cập nhật các bản vá đƣợc cung
cấp từ hệ điều hành, các bản vá cho các ứng dụng đang sử dụng và đặc biệt là
cập nhật chƣơng trình diệt virus. Đây là yếu tố quan trọng để tránh đƣợc các loại
mã độc lợi dụng các lỗ hổng để lây lan, đồng thời cũng cập nhật đƣợc các mẫu
mã độc mới giúp phần mềm diệt virus.
Nhờ chuyên gia can thiệp: Ngƣời dùng khách hàng cần phải hiểu biết tác hại tổn
thất mà mã độc gây ra. Khi không diệt đƣợc vi rút cần gọi sự giúp đỡ các chuyên
gia để kiểm tra máy tính, pháp hiện và tiêu diệt ngay.
Học viên: Hà Minh Đức
15
Luận văn thạc sĩ