Tải bản đầy đủ (.doc) (66 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

tìm hiểu về hệ thống dò tìm và phát hiện xâm nhập ids ứng dụng triển khai hệ thống trên phần mềm snort

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.56 MB, 66 trang )

Khóa luận tốt nghiệp

LỜI MỞ ĐẦU
1. Lý do chọn đề tài
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề
được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển
nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin
càng trở nên cấp thiết hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm
nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà
nghiên cứu với nhiều hướng nghiên cứu khác nhau. Trong xu hướng đó, khóa luận
tốt nghiệp này em mong muốn có thể tìm hiểu, nghiên cứu về phát hiện và phòng
chống xâm nhập mạng với mục đích nắm bắt được các giải pháp, các kỹ thuật tiên
tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường
2. Mục tiêu và nhiệm vụ
- Tìm hiểu, tổng hợp và phân tích những vấn đề liên quan đến hệ thống dò
tìm và phát hiện xâm nhập IDS
- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort
- Tìm hiểu hệ điều hành Linux
- Tìm hiểu phương pháp và triển khai thử nghiệm cài đặt Snort HIDS trên hệ
linux
- Đưa ra một số nhận định và hướng phát triển đề tài
3 Đối tượng và phạm vi nghiên cứu
- Hệ thống dò tìm và phát hiện xâm nhập IDS
- Hệ thống HIDS Snort
- Xây dựng hệ thống snort IDS trên linux
4 Phương pháp nghiên cứu
Đề tài sử dụng các phương pháp nghiên cứu sau :
- Tổng hợp các kết quả nghiên cứu từ các tư liệu liên quan
- Phân tích đánh giá phương pháp và đưa ra các giải pháp lựa chọn
- Xây dựng thử nghiệm mô hình ứng dụng



Trang 1


Khóa luận tốt nghiệp
5 Bố cục của đề tài
Đề tài chia làm 3 chương:

Chương I TỔNG QUAN VỀ HỆ THỐNG IDS
Tổng hợp, nghiên cứu và phân tích những nội dung về hệ thống dò tìm và
phát hiện xâm nhập-IDS, như về khái niệm, lịch sử phát triển, phân loại, các hoạt
động….

Chương II HỆ THỐNG SNORT
Giới thiệu tổng quan về hệ thống Snort, bao gồm: các khái niệm, nguyên
lý hoạt động, các thành phần, bộ luật của snort….

Chương II TRIỂN KHAI HỆ THỐNG SNORT
Triển khai hệ thống snort trên linux, tùy chọn hệ thống và kiểm thử kết
quả

Trang 2


Khóa luận tốt nghiệp

CHƯƠNG I
TỔNG QUAN VỀ HỆ THỐNG IDS
(Intrusion Detection System)
1.1 TỔNG QUAN VỀ IDS

1.1.1 Định nghĩa hệ thống phát hiện xâm nhập – IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một hệ
thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống,
nhà quản trị.
IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ
những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát
hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần
mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa
trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ
thống) để tìm ra các dấu hiệu khác thường.
1.1.2 Lịch sử ra đời và phát triển
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một
bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và
nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát
hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên
cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến
năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho
đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS
chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong
thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của
công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem
lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm
quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an
ninh được sử dụng nhiều nhất và vẫn còn phát triển.

Trang 3


Khóa luận tốt nghiệp

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và
phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gây
chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ
không còn nữa vào năm 2005”. Phát biểu này của xuất phát từ một số kết quả phân
tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đề sau:
- IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives).
- Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục
(24 giờ trong suốt cả 365 ngày của năm).
- Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả.
- Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn
600 Megabit trên giây.
Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những
khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó
khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư.
Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ
thống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại
trong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và
phân tích gói tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai
trò của các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các
tiêu chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi
các IDS, tường lửa để tránh các báo động giả.
- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động
Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện và
ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt còn hạn chế của IDS và
hoạt động hiệu quả hơn nhiều so với thế hệ trước đó.
1.1.3 Các thống kê về IDS
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo
mật máy tính.


Trang 4


Khóa luận tốt nghiệp
- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt
qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.
- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.
- Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS
- IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa
hoặc một thành phần thay thế.
- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung
thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần
mềm chống virus không sử dụng IDS.
IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc
phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng
tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra
chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống như
việc mặc quần áo được may đo một cách tỉ mỉ.
Nhiều chuyên gia bảo mh ật mạng biết rằng tường lửa là một thành phần cơ
bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản
phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty.
Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS
nào phù hợp với tổ chức của họ nhất.
Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS
mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống
IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể ngăn chặn
được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông
báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm
nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự ngăn chặn nhưng trong

một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện các hành vi của hắn bất chấp
có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói
hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt
virus sử dụng để phát hiện virus. Tất cả các gói đi qua được IDS đều được phân tích
và so sánh với file mẫu hoặc file dấu hiệu để xác nhận rằng nó không phải là file
của kẻ tấn công đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu
Trang 5


Khóa luận tốt nghiệp
hình để ghi lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các
chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như một
phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật file mẫu hoặc
file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần phải cập nhật kịp thời.
Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập
thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một
cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo
để có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện các cố gắng xâm
nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. Xem lại
hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng đóng các lỗ
hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả
phức tạp gây ra bởi kẻ tấn công đối với tổ chức.
Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng
mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt
các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn trộm
theo cách này.
1.1.4 Chức năng của hệ thống
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu

hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho
họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một
thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của
nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà
IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS:
- Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.

Trang 6


Khóa luận tốt nghiệp
- Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả
dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người
dùng hợp pháp.
- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy
nhập thông tin bất hợp pháp.
- Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
- Ngăn chặn sự gia tăng của những tấn công
- Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
- Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển
nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng
cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
1.1.5 Nhiệm vụ chính của hệ thống

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ
thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn
công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm
tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối
đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo
vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một
cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra
một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu
tấn công (sự xâm phạm).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ
sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các
kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật
của các tổ chức. Một IDS là một thành phần nằm trong chính sách bảo mật.
Trang 7


Khóa luận tốt nghiệp
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp
lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn
công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua mail.

1.2 PHÂN LOẠI
1.2.1 NIDS (Network Base Intrusion Detection System)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên

toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng
trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ
bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận
được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm
quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập
xa hơn. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin
trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay
không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng
mạng hoạt động ở mức cao

Trang 8


Khóa luận tốt nghiệp

Hình 1.1 Mô hình NIDS
Lợi thế của Network-Based IDSs:
- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) Độc lập với OS
Hạn chế của Network-Based IDSs:
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion
mà NIDS báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc attack có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải
nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích
chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là
bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò.

Trang 9


Khóa luận tốt nghiệp
Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm
truyền thông và bảo mật tốt nhất.
1.2.2 HIDS (Host Base Intruction Detection System)

Hình 1.2 Mô hình HIDS
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát
hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một
máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server
trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của
HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all):
- Các tiến trình.
- Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi
khả nghi trên hệ thống file sẽ gây ra báo động.

Lợi thế của HIDS:
- Có khả năng xác đinh user liên quan tới một event

Trang 10


Khóa luận tốt nghiệp
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS có thể không hiệu quả khi bị DOS.
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
1.2.3 PIDS (Protocol Based Intrucsion Detection System)
Protocol Based Intrucsion Detection System (PIDS) là một hệ thống phát
hiện xâm nhập thường là cài đặt trên một máy chủ web, và được sử dụng trong việc
giám sát và phân tích các giao thức được sử dụng bởi các hệ thống máy tính. Một
PIDS sẽ giám sát các hành vi năng động và nhà nước về giao thức và thông thường
sẽ bao gồm một hệ thống hoặc đại lý đó thường sẽ ngồi ở mặt trước của một máy
chủ, giám sát và phân tích các thông tin liên lạc giữa một thiết bị kết nối và hệ
thống nó được bảo vệ.
Giám sat hành vi động
Ở mức độ cơ bản một PIDS sẽ tìm kiếm, và cho thi hành, việc sử dụng chính
xác của giao thức.

Ở mức độ cao cấp hơn các PIDS có thể học được giảng dạy hoặc chấp nhận
được cấu trúc của giao thức, và do đó tốt hơn phát hiện các hành vi bất thường.
1.2.4 APIDS (Application Protocol Based intrusion Detection System)
Application Protocol Based intrusion Detection System (APIDS) là một
hệ thống phát hiện xâm nhập tập trung theo dõi và phân tích của mình trên một giao
thức ứng dụng cụ thể hoặc các giao thức được sử dụng bởi các hệ thống máy tính.
Một APIDS sẽ giám sát các hành vi năng động và trạng thái về giao thức và
thông thường sẽ bao gồm một hệ thống hoặc tác nhân mà thường sẽ nằm giữa một
Trang 11


Khóa luận tốt nghiệp
tiến trình, hoặc nhóm các máy chủ, giám sát và phân tích các giao thức ứng dụng
giữa hai thiết bị kết nối.

1.3 KIẾN TRÚC HỆ THỐNG IDS
Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc
phân tích và kiểm tra khác nhau của các hệ thống. Mỗi hệ thống có những ưu điểm
cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình
tổng quát chung như sau
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 1.2) – một
bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định
nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng)
cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự
kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính
sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp
nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích
mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút
nào đó đến các gói mạng.


Hình 1.3 Các thành phần IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
- Thành phần thu thập gói tin (information collection)
- Thành phần phân tích gói tin(Dectection)
Trang 12


Khóa luận tốt nghiệp
- Thành phần phản hồi (respontion)
Nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong ba thành
phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ
cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để
hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự
kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế
độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp
một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của
hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể
được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví
dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có
sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các
gói mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào
đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với
module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về
các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).


1.4 CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG IDS
Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động
thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công
nguy hiểm kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ
thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp
thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng
(Hình 1.4). Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện
dị thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô

Trang 13


Khóa luận tốt nghiệp
tả hành vi bất thường đã biết (phát hiện dấu hiêu) cũng được gọi là kiến thức cơ
bản.

Hình 1.4 Các hành vi của người dùng trong hệ thống
1.4.1 Phát hiện dấu hiệu
phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã
được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của
hệ thống.
phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các
xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của
người dùng hay hệ thống.
1.4.1.1 phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột
nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mô tả
đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này

được mô tả như một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát
đối với các mẫu đã rõ ràng. Mẫu có thể là một xâu bit cố định (ví dụ như một virus
đặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đáng
nghi ngờ.
Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario). Một hệ
thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống
hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được
tiến hành. Hệ thống này có thể xem xét hành động hiện tại của hệ thống được bảo
vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều
hành.
Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô
hình hoá các hành vi chỉ định một sự xâm nhập. Các hệ thống phát hiện sự lạm
dụng thế hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị
Trang 14


Khóa luận tốt nghiệp
an ninh tìm kiếm trong hệ thống. Một lượng lớn tập luật được tích luỹ dẫn đến khó
có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp
lý trong một kịch bản xâm nhập.
Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn
kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về
phép biến đổi trạng thái. Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ
thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải thường
xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mới được
phát hiện.
Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ
thống phát hiện sự lạm dụng sẽ dựa theo đó để theo vết hành động xâm nhập. Trong
một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của
hành động xâm nhập. Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp

theo, và khi cần sẽ can thiệp để làm giảm bởi tác hại có thể.
1.4.1.2 phát hiện sự bất thường
Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận
của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất
thường, tìm ra các thay đổi, các hành vi bất hợp pháp.
Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa
những hiện tượng thông thường và hiện tượng bất thường.
Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn
mã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh
giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn.
Phát hiện sự không bình thường được chia thành hai loại tĩnh và động


Phát hiện tĩnh
Dựa trên giả thiết ban đầu là phần hệ thống được kiểm soát phải luôn luôn

không đổi. Ở đây, ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả sử
là phần cứng không cần phải kiểm tra). Phần tĩnh của một hệ thống bao gồm 2 phần
con: mã hệ thống và dữ liệu của phần hệ thống đó. Hai thông tin này đều được biểu
diễn dưới dạng một xâu bit nhị phân hoặc một tập các xâu. Nếu biểu diễn này có sự
sai khác so với dạng thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ xâm nhập nào đó
Trang 15


Khóa luận tốt nghiệp
đã thay đổi nó. Lúc này, bộ phát hiện tĩnh sẽ được thông báo để kiểm tra tính toàn
vẹn dữ liệu.
Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để định
nghĩa trạng thái mong muốn của hệ thống. Các xâu này giúp ta thu được một biểu
diễn về trạng thái đó, có thể ở dạng nén. Sau đó, nó so sánh biểu diễn trạng thái thu

được với biểu diễn tương tự được tính toán dựa trên trạng thái hiện tại của cùng xâu
bit cố định. Bất kỳ sự khác nhau nào đều là thể hiện lỗi như hỏng phần cứng hoặc
có xâm nhập.
Biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế được chọn để định
nghĩa cho trạng thái hệ thống, tuy nhiên điều đó khá tốn kém về lưu trữ cũng như về
các phép toán so sánh. Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để
cảnh báo xâm nhập chứ không phải chỉ ra sai khác ở đâu nên ta có thể sử dụng dạng
biểu diễn được nén để giảm chi phí. Nó là giá trị tóm tắt tính được từ một xâu bit cơ
sở. Phép tính toán này phải đảm bảo sao cho giá trị tính được từ các xâu bit cơ sở
khác nhau là khác nhau. Có thể sử dụng các thuật toán checksums, message-digest
(phân loại thông điệp), các hàm băm.
Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tả
các đối tượng dữ liệu) hoặc thông tin về cấu trúc của đối tượng được kiểm tra. Ví
dụ, meta-data cho một log file bao gồm kích cỡ của nó. Nếu kích cỡ của log file
tăng thì có thể là một dấu hiệu xâm nhập.


Phát hiện động
Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior). Hành vi của

hệ thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ
thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi
hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ những
hành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mới
được xem xét.
Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc không và thông tin
phải được tích luỹ. Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử
dụng tài nguyên hợp lý hay bất thường.

Trang 16



Khóa luận tốt nghiệp
Nếu không chắc chắn hành vi là bất thường hay không, hệ thống có thể dựa
vào các tham số được thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi.
Ranh giới trong trường hợp này là không rõ ràng do đó có thể dẫn đến những cảnh
báo sai.
Cách thức thông thường nhất để xác định ranh giới là sử dụng các phân loại
thống kê và các độ lệch chuẩn. Khi một phân loại được thiết lập, ranh giới có thể
được vạch ra nhờ sử dụng một số độ lệch chuẩn. Nếu hành vi nằm bên ngoài thì sẽ
cảnh báo là có xâm nhập.
Cụ thể là: các hệ thống phát hiện động thường tạo ra một profile (dữ liệu) cơ
sở để mô tả đặc điểm các hành vi bình thường, chấp nhận được. Một dữ liệu bao
gồm tập các đo lường được xem xét về hành vi, mỗi đại lượng đo lường gồm nhiều
chiều:


Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăng nhập,…

● Các

tài nguyên được sử dụng trong cả quá trình hoặc trên một đơn vị thời

gian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn vị thời
gian,…
● Chuỗi

biểu diễn các hành động.

Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắt

đầu. Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soát
hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầu của
hành vi được mong đợi (chính là dữ liệu cơ sở), để tìm ra sự khác nhau. Khi hệ
thống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thể
hoặc các hành động là thuộc tính của thực thể. Chúng xây dựng thêm một dữ liệu
hiện tại.
Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản
ghi kiểm tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan. Các
hệ thống sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập. Một số
hệ thống hoạt động với thời gian thực, hoặc gần thời gian thực, quan sát trực tiếp sự
kiện trong khi chúng xảy ra hơn là đợi hệ điều hành tạo ra bản ghi mô tả sự kiện.

Trang 17


Khóa luận tốt nghiệp
Khó khăn chính đối với các hệ thống phát hiện động là chúng phải xây dựng
các dữ liệu cơ sở một cách chính xác, và sau đó nhận dạng hành vi sai trái nhờ các
dữ liệu.
Các dữ liệu cơ sở có thể xây dựng nhờ việc giả chạy hệ thống hoặc quan sát hành
vi người dùng thông thường qua một thời gian dài.
1.4.1.3 So sánh giữa hai mô hình
Bảng 1.1 So sánh 2 mô hình phát hiện
Phát hiện sự lạm dụng
Bao gồm:

Phát hiện sự bất thường
Bao gồm:




Cơ sở dữ liệu các dấu hiệu tấn công.



Cơ sở dữ liệu các hành động thông



Tìm kiếm các so khớp mẫu đúng.

thường.
 Tìm

kiếm độ lệch của hành động thực tế

so với hành động thông thường.
Hiệu quả trong việc phát hiện các
Hiệu quả trong việc phát hiện các dạng
dạng tấn công đã biết, hay các biến thể tấn công mới mà một hệ thống phát hiện
(thay đổi nhỏ) của các dạng tấn công đã sự lạm dụng bỏ qua.
biết. Không phát hiện được các dạng tấn
công mới.
Dễ cấu hình hơn do đòi hỏi ít hơn về
thu thập dữ liệu, phân tích và cập nhật

Khó cấu hình hơn vì đưa ra nhiều dữ
liệu hơn, phải có được một khái niệm toàn
diện về hành vi đã biết hay hành vi được


mong đợi của hệ thống
Đưa ra kết luận dựa vào phép so
Đưa ra kết quả dựa vào tương quan
khớp mẫu (pattern matching).

bằng thống kê giữa hành vi thực tế và
hành vi được mong đợi của hệ thống (hay
chính là dựa vào độ lệch giữa thông tin

thực tế và ngưỡng cho phép).
Có thể kích hoạt một thông điệp cảnh
Có thể hỗ trợ việc tự sinh thông tin hệ
báo nhờ một dấu hiệu chắc chắn, hoặc thống một cách tự động nhưng cần có thời
cung cấp dữ liệu hỗ trợ cho các dấu gian và dữ liệu thu thập được phải rõ
hiệu khác.

ràng.

Trang 18


Khóa luận tốt nghiệp
Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả
hai phương pháp trên trong cùng một hệ thống. Hệ thống kết hợp này sẽ cung cấp
khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
Sơ đồ hệ thống kết hợp như sau:
1.4.2 Tương quan các mẫu tham số
Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hơn hai phương
pháp trước. Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các
hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo

mật). Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi.
Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các
quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. Nó có
thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. Sự
khác nhau ở đây nằm ở chỗ trong thực tế, một profile là một phần hiểu biết của con
người.
Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu
tấn công không biết. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không
rõ ràng đối với chính hoạt động đó. Nó kế thừa những nhược điểm trong thực tế là
con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa
là các tấn công nào đó có thể vượt qua mà không bị phát hiện.

1.5 CÔNG CỤ HỖ TRỢ IDS
Có 1 số công cụ hỗ trợ cho hệ thống xâm nhập IDS, trong phần này chúng ta
sẽ đề cập đến bốn công cụ hỗ trợ đó: hệ thống phân tích tổn thương, bộ kiểm tra
toàn vẹn dữ liệu, honey pots, Padded cell. Những thành phần này có thể tăng cường,
hỗ trợ, tổ chức như thế nào với hệ thống phát hiện xâm nhập IDS sẽ được làm rõ ở
những mục dưới đây.
1.5.1 Hệ thống phân tích đánh giá tổn thương
Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị
tổn thương) là công cụ kiểm tra xác định liệu có phải một mạng hay host có thể bị
tổn thương tới những sự tấn công được biết. Sự đánh giá tổn thương đại diện cho
một trường hợp đặc biệt của quá trình phát hiện xâm nhập. Những thông tin bao

Trang 19


Khóa luận tốt nghiệp
gồm tình trạng hệ thống và hậu qủa của những tấn công được phân tích đánh giá.
Những thông tin này được tổng hợp phân tích tại tại bộ cảm biến.

Sự phân tích đánh giá tổn thương là một kỹ thuật quản lý an toàn rất mạnh và
là sự bổ sung thích hợp tới việc sử dụng IDS, không phải như một sự thay thế. Cần
phải có một tổ chức tin cậy quản lý những công cụ phân tích đánh giá tổn thương để
theo dõi những hệ thống này.
1.5.1.1 Quá trình phân tích đánh giá tổn thương
Quá trình phân tích đánh giá tồn thương bao gồm những bước sau:
 Lấy

1 mẫu bao gồm tập hợp các thuộc tính của hệ thống.

 Kết

quả của việc lấy mốc được cất vào một chỗ an toàn.



Kết quả này được so sánh với ít nhất một mẫu trước đó hoặc một mẫu lý

tưởng trước đó.
 Bất

kỳ sự khác nhau giữa hai tập hợp được tổng hợp và báo cáo.

1.5.1.2 Các kiểu phân tích đánh giá tổn thương
 Có

hai kiểu phân tích đánh giá tổn thương dành cho Netword-based và host-

based:
● Host-based:


phân tích đánh giá tổn thương chính là việc đánh giá dữ liệu

của hệ thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác.


Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa

tới hệ thống đích. Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống
hay đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống.
1.5.2 Kiểm tra toan vẹn dữ liệu
Những bộ kiểm tra toàn vẹn dữ liệu là những công cụ an toàn mà bổ sung
IDSs. Chúng tóm lược thông báo hay kiểm tra giải mã cho những dữ liệu và những
đối tượng phê bình, so sánh nó với những giá trị tham khảo và việc đặt những dấu
hiệu cho sự khác nhau hay thay đổi. Việc kiểm tra giải mã sẽ giúp biết nội dung của
dữ liệu có bị thay đổi bởi tin tặc hay không. Việc thay đổi nội dung có nhiều kỹ
thuật nhưng mục đích của tin tặc là gắn những thành phần vào nội dung để làm cầu
nối trao đổi thông tin giữa hệ thống và máy của tin tặc hoặc là với mục đích phá
hoại.

Trang 20


Khóa luận tốt nghiệp
Mặc dù việc kiểm tra những thành phần thay đổi trong nội dung của dữ liệu
hay còn gọi là sâu thường xuyên được sự hỗ trợ cập nhật từ những hãng chống
virut, spyware hay trojan nhưng việc cập nhật còn quá chậm so với sự phát triển của
những thành phần này.
1.5.3 Honey Pot và Padded Cell System
Honey pot là hệ thống những cạm bẫy được thiết kế để bẫy những tin tặc tấn

công. Honey pot được thiết kế bao gồm những mục đích sau:
- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
- Tập hợp thông tin về tin tặc và hành động của tin tặc.
- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị phản
hồi lại.
Padded Cell: khác với honey pot là hướng tin tặc theo kế hoạch của mình thì
padded cell được thiết kế để theo dõi hành động thay đổi dữ liệu của tin tặc, đánh
dấu sự thay đổi để biết mục đích của tin tặc.
1.5.4. Một số sản phẩm của IDS/IPS
Phần này giới thiệu một số sản phẩm IDS, IPS thương mại cũng như miễn
phí phổ biến, những sản phẩm điển hình trong lĩnh vực phát hiện và phòng chống
xâm nhập.
Cisco IDS-4235
Cisco IDS (còn có tên là NetRanger) là một hệ thống NIDS, có khả năng theo dõi
toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện các dấu hiệu xâm
nhập.
Cisco IDS là một giải pháp riêng biệt, được Cisco cung cấp đồng bộ phần
cứng và phần mềm trong một thiết bị chuyên dụng.
Giải pháp kỹ thuật của Cisco IDS là một dạng lai giữa giải mã (decode) và đối sánh
(grep). Cisco IDS hoạt động trên một hệ thống Unix được tối ưu hóa về cấu hình và
có giao diện tương tác CLI (Cisco Command Line Interface) quen thuộc của Cisco.
ISS Proventia A201
Proventia A201 là sản phẩm của hãng Internet Security Systems. Về mặt bản chất,
Proventia không chỉ là một hệ thống phần mềm hay phần cứng mà nó là một hệ

Trang 21


Khóa luận tốt nghiệp
thống các thiết bị được triển khai phân tán trong mạng được bảo vệ. Một hệ thống

Proventia bao gồm các thiết bị sau:
- Intrusion Protection Appliance: Là trung tâm của toàn bộ hệ thống Proventia.
Nó lưu trữ các cấu hình mạng, các dữ liệu đối sánh cũng như các quy định về chính
sách của hệ thống. Về bản chất, nó là một phiên bản Linux với các driver thiết bị
mạng được xây dựng tối ưu cũng như các gói dịch vụ được tối thiểu hóa.
- Proventia Network Agent: Đóng vai trò như các bộ cảm biến (sensor). Nó được
bố trí tại những vị trí nhạy cảm trong mạng nhằm theo dõi toàn bộ lưu thông trong
mạng và phát hiện những nguy cơ xâm nhập tiềm ẩn.
- SiteProtector: Là trung tâm điều khiển của hệ thống Proventia. Đây là nơi người
quản trị mạng điều khiển toàn bộ cấu hình cũng như hoạt động của hệ thống.
Với giải pháp của Proventia, các thiết bị sẽ được triển khai sao cho phù hợp
với cấu hình của từng mạng cụ thể để có thể đạt được hiệu quả cao nhất.
NFR NID-310
NFR là sản phẩm của NFR Security Inc. Cũng giống như Proventia, NFR
NID là một hệ thống hướng thiết bị (appliance-based). Điểm đặc biệt trong kiến trúc
của NFR NID là họ các bộ cảm biến có khả năng thích ứng với rất nhiều mạng khác
nhau từ mạng 10Mbps đến các mạng gigabits với thông lượng rất lớn.
Một điểm đặc sắc của NFR NID là mô hình điều khiển ba lớp. Thay vì các
thiết bị trong hệ thống được điểu khiển trực tiếp bởi một giao diện quản trị
(Administration Interface – AI) riêng biệt, NFR cung cấp một cơ chế điều khiển tập
trung với các middle-ware làm nhiệm vụ điều khiển trực tiếp các thiết bị.
SNORT
Snort là phần mềm IDS mã nguồn mở, được phát triển bởi Martin Roesh.
Snort đầu tiên được xây dựng trên nền Unix sau đó phát triển sang các nền tảng
khác. Snort được đánh giá là IDS mã nguồn mở đáng chú ý nhất với những tính
năng rất mạnh. Chi tiết về Snort sẽ được trình bày trong phần chương II của đề tài .

1.6 CÁC KỸ THUẬT XỬ LÝ DỮ LIỆU TRONG HỆ THỐNG IDS
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các
cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS.

Dưới đây là một số hệ thống được mô tả vắn tắt:
Trang 22


Khóa luận tốt nghiệp
1.6.1 phân tích trạng thái phiên
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được
thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày
trong sơ đồ trạng thái phiên.
1.6.2 Phát hiện dấu hiệu
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những
hiểu biết về tấn công. Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấn công
thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm
thấy trong các bản ghi hoặc đầu vào của luồng dữ liệu theo một cách dễ hiểu. Một
kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với
các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định.
Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự
phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ
chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ
thống thương mại (ví dụ như Stalker, Real Secure, NetRanger, Emerald eXpertBSM).
1.6.3 Phân tích thống kê
Đây là phương pháp thường được sử dụng. Hành vi người dùng hoặc hệ
thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như
là: đăng nhập người dùng, đăng xuất, số file truy nhập trong một chu kỳ thời gian,
hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi
từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử
dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương
pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển
hình. Các phương pháp dựa vào việc làm tương quan profile người dùng riêng lẻ
với các biến nhóm đã được gộp lại cũng ít có hiệu quả.

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển
bằng cách sử dụng profile người dùng ngắn hạn hoặc dài hạn. Các profile này
thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các
phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên
profile hành vi người dùng thông thường.
Trang 23


Khóa luận tốt nghiệp
1.6.4 Phân biệt ý định người dùng
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng
một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan
đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động
được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một
tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự
không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
1.6.5 Tối thiểu hóa dữ liệu
Thường phải dùng đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa
biết nhưng có khả năng hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với
số lượng lớn. phương pháp tối thiểu dữ liệu này vượt trội hơn đối với việc sử lý bản
ghi hệ thống lớn (dữ liệu kiểm định). Mặc dù vậy, chúng kém hữu dụng đối với việc
phân tích luồng lưu lượng mạng. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ
bản được sử dụng trong phát hiện xâm nhập được kết hợp với các cây phán quyết.
Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thường
trong một cơ sở dữ liệu lớn. Kỹ thuật khác phải dùng đến các đoạn, cho phép trích
mẫu của các tấn công chưa biết. Điều đó được thực hiện bằng việc hợp lệ hóa các
mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp
cho tấn công chưa biết đã cất giữ. Một kỹ thuật tối thiểu hóa dữ liệu điển hình được
kết hợp với việc tìm kiếm các nguyên tắc kết hợp. Nó cho phép ai đó có thể trích
kiến thức chưa hiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành

vi thông thường. Sự phát hiện bất thường thường gây ra các báo cảnh sai. Với việc
tối thiểu hóa dữ liệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh
với dữ liệu kiểm định tối thiểu, do đó giảm đáng kể xác suất báo cảnh sai.
1.6.6 Colored Petri Nets
Thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết cơ
bản và để thể hiện các tấn công theo đồ họa. Hệ thống IDIOT của đại học Purdue sử
dụng Colored Petri Nets. Với kỹ thuật này, các quản trị viên sẽ dễ dàng hơn trong
việc bổ sung thêm dấu hiệu mới. Mặc dù vậy, việc làm cho hợp một dấu hiệu phức
tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian. Kỹ thuật này không
được sử dụng trong các hệ thống thương mại.
Trang 24


Khóa luận tốt nghiệp
1.6.7 Neural Network
Sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu về
mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng để rút ra mối
quan hệ vào/ra mới. Phương pháp neural network được sử dụng cho phát hiện xâm
nhập, mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người
dùng hay kẻ xâm phạm). Thực ra các phương pháp thống kê cũng một phần được
coi như neural networks. Sử dụng mạng neural trên thống kê hiện có hoặc tập trung
vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong
việc nghiên cứu các mối quan hệ một cách tự động. Các thực nghiệm đã được tiến
hành với sự dự đoán mạng neural về hành vi người dùng. Từ những kết quả cho
thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán. Với một
số ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự đoán. Neural
networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong
cộng đồng phát hiện xâm nhập.
1.6.8 Computer immunology Analogies
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng

một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan
đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động
được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một
tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự
không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
1.6.9 Machine learning (nghiên cứu cơ chế)
Đây là một kỹ thuật thông minh nhân tạo, nó lưu luồng lệnh đầu ra người
dùng vào các biểu mẫu vector và sử dụng như một tham chiếu của profile hành vi
người dùng thông thường. Các profile sau đó được nhóm vào trong một thư viện
lệnh người dùng có các thành phần chung nào đó.
1.6.10 Hệ thống Expert
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ
trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được
kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví
dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T).
Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×