i

MỤC LỤC
MỤC LỤC.................................................................................................................i
DANH MỤC CÁC TỪ VIẾT TẮT..........................................................................ii
DANH MỤC CÁC HÌNH.......................................................................................iii
DANH MỤC CÁC BẢNG......................................................................................vi
MỞ ĐẦU..................................................................................................................1
CHƯƠNG 1: TỔNG QUAN.....................................................................................4
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG
TRÊN MẠNG...........................................................................................................8
CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS).........16
CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP....................34
CHƯƠNG 5: GIỚI THIỆU SNORT RULE.............................................................41
CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ....................................................46
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN.........................................66
TÀI LIỆU THAM KHẢO......................................................................................68


ii

DANH MỤC CÁC TỪ VIẾT TẮT
Viết
tắt

Tiếng Anh

Tiếng Việt

VSEC

The Vietnamese security network

Tờ báo bảo mật mạng ở Việt Nam

IDS

Intrusion Detection System

Phát hiện xâm nhập hệ thống

NIDS

Network Intrusion Detection System

Phát hiện xâm nhập hệ thống
mạng

DoS

Denial Of Service

Từ chói dịch vụ

IPS

Intrusion prevention system

Phòng chống xâm nhập hệ thống

LAN


Local Area Network

Mạng cục bộ

HIDS

Host Intrusion Detection System

SYN

Synchronize

FIN

Finish

OS

Operating System

TCP

Transmission Control Protocol

UDP

User Datagram Protocol

ICMP Internet Control Message Protocol

IP

Internet Protocol

CLI

Cisco Command Line Interface

PCRE Perl Compatible Regular
Expressions
ISS
hãng Internet Security Systems
RAID

Recent Advances in Intrusion
Detection
PERL Perl Programming Language

Hệ điều hành


iii

DANH MỤC CÁC HÌNH
Hình 0 Nhiệm vụ của một IDS ............................................................................1
Hình 1 Biểu đồ thống kê hệ thống máy tính bị tấn công........................................2
Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet..............................4
Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011...............................5
Hình 2.1 Intrustion Detection system activities...................................................12
Hình 2.2 Intrustion Detection system infrastructure............................................13

Hình 2.3 Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di
chuyển giữa các thành phần của hệ thống...........................................................14
Hình 2.4 Các thành phần chính của 1 hệ IDS......................................................15
Hình 3.1 Mô hình IPS..........................................................................................16
Hình 3.2 Promicious mode .................................................................................20
Hình 3.3 Inline mode...........................................................................................21
Hình 3.4 Signature-base......................................................................................22
Hình 3.5 Anomaly-base.......................................................................................25
Hình 3.6 Policy-base...........................................................................................27
Hình 4.1 Các thành phần của snort......................................................................35
................................................................................................................................
Hình 5.1 Cấu trúc một rule trong snort................................................................41


iv

Hình 6.1 Mô hình triển khai snort IDS.....................................................................47
Hình 6.2 Quản lý snort bằng giao diện đồ họa....................................................50
Hình 6.3 Quản lý rules trên giao diện đồ họa .....................................................50
Hình 6.4 Phát hiện xâm nhập trên Base giao diện web .......................................52
Hình 6.5 Phát hiện có người Ping Trong mạng ...................................................53
Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa ..........................................53
Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa...........................................54
Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa......................................54
Hình 6.9 Chống SQL injection cho web server...................................................55
Hình 6.10 Phát hiện cảnh báo SQL injection......................................................55
Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection...........................................56
Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection..............................................56
Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection.................................57
Hình 6.14 Chống Ping of Death ( DoS, DDoS )..................................................57

Hình 6.15 Tín hiệu cảnh báo tấn công ddos.........................................................58
Hình 6.16 Chống scanning port trong mạng lan..................................................58
Hình 6.17 Chống Scan và Block IP...................................................................59
Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP.............59
Hình 6.19 Đăng ký account Snort.......................................................................61


v

Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort .........................................61
Hình 6.21 Tạo mật mã truy cập oinkcode............................................................62
Hình 6.22 Cập nhật rules tự động trong snort......................................................64
Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công.............................65


vi

DANH MỤC CÁC BẢNG
Bảng 5.1: Quy định các loại giao thức.....................................................................43
Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP........................................44
Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP.....................................44
Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP....................................45


1

MỞ ĐẦU

Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho
con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ

khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách
thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập.
Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,
với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương
pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi
ngày một nhiều.
Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70%
website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker
kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của
việt nam chưa được quan tâm và đầu tư đúng mức.
Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâm
nhập – IDS ngày càng trở nên phổ biến.
Nhiệm vụ của những IDS này là :

Interne
t
Hình 0. Nhiệm vụ của một IDS
Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát
hiện bất thường và tiếp cận dựa trên dấu hiệu.


2

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng
quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho
thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ
chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày
càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ
thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát
luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ

cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gần
đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%
các cuộc tấn công được thực hiện là ở lớp ứng dụng web). Trong đó hai kĩ thuật tấn
công được các hacker sử dụng phổ biến là cross-site scripting và sql injection :

Hình1. Biểu đồ thống kê hệ thống máy tính bị tấn công
Kiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hành
bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cách
lừa người dùng nhấn vào những liên kết này. Khi đó đoạn mã độc hại này sẽ được
thực thi trên máy tính của nạn nhân. Kỹ thuật thực hiện các cuộc tấn công kiểu này
không có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng và
server (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc


3

không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những URL
bị chèn thêm các mã độc hại. Còn SQL Injection liên quan đến một kĩ thuật chèn
các từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao tác
trên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điều
khiển quá trình thực thi câu lệnh SQL ở server.
Vì vậy, cần có một hệ thống phòng thủ thật vững chắc có thể đứng vững trước các
cuộc tấn công mạng ngày càng gia tăng về quy mô lẫn kỹ thuật. Một hệ thống mạng
ngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo và
phòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công có
nguy cơ làm tổn hại hệ thống mạng.
Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lối
vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả các

thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước
khi truyền, ký trước khi truyền,...
Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập trái
phép trên mạng (NIDS-Network Intrusion Detection System).
Đề tài : “xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS)
mô phỏng trên phần mềm snort”.
Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn cũng
còn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thời
gian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này. Rất mong sự góp
ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu.


4

CHƯƠNG 1: TỔNG QUAN
1.1.

Giới thiệu
Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng

07/2010 đã có hơn 440 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụ
hướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâu
máy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh
(hình 1.2) ; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơn
bao giờ hết. Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứu
nhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID
(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm
tổ chức đều đặn, và lần thứ 13 diễn ra tại Ottawa, Canada vào Semtemper 1517/2010 [W2] (lần 14 tại Menlo Park, California, September 20-21/2011).

Hình 1.1. Tình hình phát triển số lượng máy tính trên Internet.



5

Hình 1.2. Malware mới xuất hiện mỗi tháng trong năm 2011.
Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúp
các doanh nghiệp được bảo mật hơn. Các nghiên cứu này cho thấy bảo mật, phòng
chống tấn công, xâm nhập ở Việt Nam chưa cao. Vì vậy, bảo mật hệ thống máy tính
ở Việt Nam cần được quan tâm nhiều hơn. Những hệ thống bảo mật nên thiết kế
triển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấn
công, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵn
sàng, và bảo mật cho hệ thống mạng.
1.2.

Mục tiêu nghiên cứu của luận văn
Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòng

chống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT.
Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ lọc gói
ở tầng bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xây
dựng một hệ thống phát xâm nhập mạng (IDS).


6

1.3.

Giới thiệu các chương mục của luận văn

Chương 1: Tổng quan

Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu và
những đóng góp của luận văn.
Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng
Chương 2 trình bày các mô hình và phương pháp phát hiện tấn công, xâm
nhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật phát
hiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể. Thiết kế các vị trí đặt
hệ thống phát hiện tấn công, xâm nhập. Đồng thời chương này cũng trình bày các
kỹ thuật tấn công, xâm nhập.
Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS)
Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũng
như những thành phần của một IPS. Chương này hết sức quan trọng, chính là cơ sở
để phòng chống xâm nhập mạng.
Chương 4: Triển khai hệ thống phát hiện xâm nhập
Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở
Snort, các thành phần của snort và các chế độ hoạt động của nó.
Chương 5: Giới thiệu Snort rule
Chương 5 này giới thiệu cho chúng ta biết những thành phần của một rule
trong snort, từ đó dựa vào những thành phần này mà chúng ta có thể điều chỉnh
hoặc viết lại những rule cho phù hợp với hệ thống đang chạy, thêm một kênh hữu
ích cho người quản trị mạng nắm bắt được những bất thường, tấn công, virus dạng
hướng thời gian, diễn ra nhanh trên mạng của mình.


7

Chương 6: Thực nghiệm và đánh giá.
Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâm
nhập trong mạng LAN.
Quản lý phần mềm Snort bằng giao diện đồ họa, đồng thời có thể xem tín
hiệu cảnh báo thông qua giao diện web như: base, mail, tin nhắn sms qua điện thoại

di động. Có thể xuất ra report ngay trên web chúng ta có thể xem theo giờ, ngày,
tháng và in ra.
Trong chương này snort còn cho chúng ta cập nhật các rules tự động trong hệ
thống khi VRT sourcefire cập nhật những lỗ hỏng trên internet thì hệ thống chúng ta
cũng được cập nhật những rules mới này cho toàn hệ thống.
Chương 7: Kết luận và hướng phát triển
1.4.
-

Những đóng góp của luận văn
Đưa ra phương pháp xây dựng hệ thống phát hiện xâm nhập và phòng
chống xâm nhập mạng.

-

Triển khai trên hệ thống mạng Lan của Trường Cao Đẳng Nghề Ispace.

-

Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các
kỹ thuật phòng chống xâm nhập trái phép trên mạng.


8

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN
CÔNG TRÊN MẠNG
Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công,
xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuật
phát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host và

giám sát ở mức độ network. Đồng thời chương này cũng trình bày các kỹ thuật xử
lý dữ liệu.
2.1.

Giới thiệu :
Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức

từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không
lực Hoa Kỳ [1]. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến,
một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên
cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển theo sự
bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và
thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco
nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS
tên là Wheel [1].
Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm
có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệ
thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,
bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày
càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn
trong nền tảng bảo mật của các tổ chức [2].


9

2.2.
2.2.1.

Một số khái niệm.
IDS.

Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệ

thống mạng để tìm ra các dấu hiệu vi phạm các quy định bảo mật máy tính, chính
sách sử dụng và các tiêu chuẩn an toàn thông tin. Các dấu hiệu này xuất phát từ
nhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép,
người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1].
2.2.2. Phát hiện xâm nhập.
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ
thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm
nhập bất hợp pháp”. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó
trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một
người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ
chưa được cấp phát [1].
2.2.3. Network IDS
Network IDS (NIDS) là các hệ thống phát hiện tấn công, nó có thể bắt giữ
các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh
chúng với cơ sở dữ liệu các tín hiệu [1],[2].
2.2.4. Host IDS
Host IDS (HIDS) được cài đặt như là một tác nhân trên máy chủ. Những hệ
thống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụng
hoặc của hệ thống để phát hiện những hành động xâm nhập[1], [2].
2.2.5. Signature
Là dấu hiệu tìm thấy trong các gói tin, được sử dụng để phát hiện ra một
cuộc tấn công. Ví dụ ta có thể tìm thấy các dấu hiệu trong IP hearder, hearder của
tầng giao vận (TCP, UDP hearder) hoặc hearder tầng ứng dụng. Các nhà cung cấp


10

IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát

hiện ra [1].
2.2.6. Alert.
Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp.
Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều
cách khác. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên
gia bảo mật có thể xem lại. Thông tin mà IDS thu được sẽ lưu lại trong file để người
quản trị có thể theo dõi những gì đang xảy ra trong hệ thống mạng. Chúng có thể
được lưu lại dưới dạng text hoặc dạng nhị phân [1].
2.2.7. False Alarm
Là những thông báo đúng về một dấu hiệu xâm nhập nhưng hành động sai
[1].
2.2.8. Sensor
Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng
để bắt tín hiệu âm thanh, màu sắc, áp xuất... thì sensor ở đây sẽ bắt các tín hiệu có
dấu hiệu của xâm nhập bất hợp pháp [1].
2.3.

Chức năng của IDS
 Nhận diện các nguy cơ có thể xảy ra.
 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.
 Nhận diện các hoạt động thăm dò hệ thống.
 Nhận diện các chính sách yếu khuyết của chinh sách bảo mật.
 Ngăn chặn vi phạm chính sách bảo mật.
 Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát.
 Xuất báo cáo [1].


11

2.4.


Các phương pháp nhận biết tấn công
Các hệ thống IDS thường dùng nhiều phương pháp nhận biết khác nhau,

riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện [1]. Có
thể chia thành các phương pháp nhận biết chính sau:
2.4.1. Nhận biết dựa vào dấu hiệu (Signature-base).
Sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với các
dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với các mối
nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các
mối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn tránh. Signature-base
không thể theo vết và nhận diện trạng thái của các truyền thông phức tạp [1].
2.4.2. Nhận diện bất thường (Anomaly-base)
So sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát
nhằm xác định các độ lệch. Một hệ IDS sử dụng phương pháp Anormaly-base
detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được
phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một
khoảng thời gian. Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụng
phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các
ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường [1], [2].
Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic. Static
profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nên
không chính xác, và cần phải được tái tạo định kỳ. Dynamic profile được tự động
điều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều này
cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu
( evasion techniques). Ưu điểm chính của phương pháp này là nó rất có hiệu quả
trong việc phát hiện ra các mối nguy hại chưa được biết đến.


12


2.4.3. Phân tích trạng thái giao thức (Stateful protocol analysis)
Phân tích trạng thái protocol là quá trình so sánh các profile định trước của
hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó
xác định độ lệch. Khác với phương pháp Abnomaly-base detection, phân tích trạng
thái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó
quy định 1 protocol nên làm và không nên làm gì. "Stateful" trong phân tích trạng
thái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vận
chuyển, và các giao thức ứng dụng có trạng thái [1],[2].
Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp
trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là
phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công
khi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức.
2.5.

Cơ sở hạ tầng IDS
Nhiệmvụ chính của hệ thống IDS là phòng thủ máy tính bằng cách phát hiện

một cuộc tấn công và có thể đẩy lùi nó. Phát hiện tấn công thù địch phụ thuộc vào
số lượng và loại hành động thích hợp.

Hình 2.1. Intrustion Detection system activities
Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn
của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý
của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ


13

của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập được

liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính
của mỗi hệ thống IDS) để phát hiện các cuộc tấn công [1], [2].
Khi phát hiện có xâm nhập hệ thống IDS phát các cảnh báo đến người quản
trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc
bởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên
làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng
các cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức.

Hình 2.2. Intrustion Detection system infrastructure
2.6.

Cấu trúc IDS

2.6.1. Các thành phần cơ bản
(a)

Sensor / Agent

Giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng
Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạngHost-base
IDS/IPS.
(b)

Management Server

Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản
lý chúng. Một số Management Server có thể thực hiện việc phân tích các thông tin


14


sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này
dù các Sensor / Agent đơn lẻ không thể nhận diện.
(c)

Database Server

Dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server.
(d)

Console

Là 1 chương trình cung cấp giao diện cho IDS/IPS users /Admins. Có thể cài
đặt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để
giám sát, phân tích.
2.6.2. Cấu trúc IDS
Sensor là yếu tố cốt lõi trong một hệ thống IDS, có trách nhiệm phát hiện các
xâm nhập nhờ những cơ cấu ra quyết định đối với sự xâm nhập. Sensor nhận dữ liệu
thô từ ba nguồn thông tin chính : Cơ sở dữ liệu của IDS, syslog và audit trail .Các
thông tin này hỗ trợ cho quá trình ra quyết định sau này.

Hình 2.3. Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông
tin di chuyển giữa các thành phần của hệ thống.
Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu một event generator. Dựa vào các chính sách tạo sự kiện, sensor xác định chế độ lọc


15

thông tin thông báo sự kiện. Các event generator (hệ điều hành, mạng, ứng dụng)
tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự

kiện của hệ thống, hoặc các gói tin.

Hình 2.4. Các thành phần chính của 1 hệ IDS.
Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phân
tán. Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS cùng với các
thành phần an ninh khác như firewall. Triển khai phân tán (distributed IDS bao
gồm nhiều hệ IDS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao
khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp)[3][4].


16

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS)
Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũng
như những thành phần của một IPS. Chương này hết sức quan trọng, chính là cơ sở
để phòng chống xâm nhập mạng.
3.1.

Khái niệm.
Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây

đã xuất hiện trong từ điển chuyên ngành an ninh bảo mật. Chắc chắn nó có một ý
nghĩa lớn lao hơn là một lời tiếp thị lôi cuốn. Tuy vậy, đây không phải là một mô tả
công nghệ bảo mật mới mang tính cách mạng mặc dù một số nhà tiếp thị chuyên
nghiệp cho rằng IPS là một bước đại nhảy vọt. “Ngăn ngừa Xâm nhập” hàm chứa
những khía cạnh của nhiều công nghệ bảo mật hiện hữu bao gồm chống virus, phát
hiện xâm nhập, tường lửa và lọc truy nhập Internet,...“Ngăn ngừa xâm nhập” chính
là thế giới bảo mật công nghệ thông tin.

Hình 3.1. Mô hình IPS.

Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết hợp
các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả
nǎng phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó.


17

3.2.

Nguyên lý hoạt động
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các

cuộc tấn công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng
bảo vệ tất cả các thiết bị trong mạng.
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
3.2.1. Kiến trúc hệ thống IPS ngoài luồng.
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:
thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ
thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm
dẻo.
Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul
phát hiện tấn công, modul phản ứng.
a) Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông
thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó
huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Bộ phân tích
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch
vụ gì... Các thông tin này được chuyển đến modul phát hiện tấn công.
b) Modul phát hiện tấn công:
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc

tấn công. Có hai phương pháp để phát hiện các cuộc tấn công là dò sự lạm dụng và
dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của
hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu
tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn


18

được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là
phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm
giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng
bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là
không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn
công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận
dạng ra các hành động không bình thường của mạng. Ban đầu, chúng lưu trữ các
mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có
những hành động khác so với bình thường và phương pháp dò này có thể nhận
dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn
công như dưới đây:
Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động
bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt
ra.Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng
các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá
mức... thì hệ thống có dấu hiệu bị tấn công.
Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu
thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về
cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ
thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất

thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể
chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có
tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc.
Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào
hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không
hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ


19

thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để
thu thập thông tin của các tin tặc.
c) Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn công sẽ
gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó
modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn
công hay cảnh báo tới người quản trị. Dưới đây là một số kỹ thuật ngǎn chặn:
Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin
nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược
điểm: Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn
công, dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này
không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin
can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến
trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được
phương pháp này.
Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn
đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu
phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin
hợp lệ.
Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản

trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm
thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi
cảnh báo tới người quản trị.
Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị
để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.