Tải bản đầy đủ (.docx) (53 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

XÂY DỰNG hệ THỐNG HIDS sử DỤNG OSSEC

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.06 MB, 53 trang )

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
NGÀNH: TRUYỀN THÔNG VÀ MẠNG MÁY TÍNH

ĐỀ TÀI :
XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC
GIẢNG VIÊN HƯỚNG DẪN : THS. LƯƠNG HOÀNG ANH
SINH VIÊN THỰC HIỆN

: TRẦN THỊ DUNG

LỚP

: 66DCTM22

MÃ SINH VIÊN

: 66DCTM22121

HÀ NỘI - 2019


Xây dựng hệ thống HIDS sử dụng OSSEC
LỜI MỞ ĐẦU
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời
được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông.
Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta
đến với thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh
doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử


nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam.
Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà
chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn.
Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ
thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư
của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa
dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục
tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày
càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo
mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng
đầu.
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và
khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm
nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch
vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự
tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ
tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức
mã hóa, và các mạng riêng ảo .
Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương
thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này
người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được
biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ
giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống
nhằm giảm thiểu những tấn công bất hợp pháp.
 Chính

vì vậy em chọn đề tài này : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG

OSSEC”


LỜI CAM ĐOAN

SVTH: Trần Thị Dung

2


Xây dựng hệ thống HIDS sử dụng OSSEC
Em xin cam đoạn:
1. Những nội dung trong khóa luận này là do em thực hiện dưới sự hướng
dẫn trực tiếp của thầy giáo Ths Lương Hoàng Anh.
2. Mọi tham khảo dùng trong khóa luận đều được trích dẫn rõ ràng và trung
thực tên tác giả, tên công trình, thời gian, địa điểm công bố.
3. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em
xin chịu hoàn toàn trách nhiệm.

LỜI CẢM ƠN
Lời đầu tiên em xin gửi lời tri ân và biết ơn sâu sắc đến Thầy Lương Hoàng
Anh, người hướng dẫn đồ án tốt nghiệp đã tận tình chỉ bảo, động viên, khích lệ em
trong suốt quá trình nghiên cứu và thực hiện đề tài.
Em xin cảm ơn các thầy cô Khoa Công nghệ thông tin, trường Đại học Công
nghệ Giao Thông Vận Tải, đặc biệt các thầy cô trong bộ môn Truyền thông và mạng
máy tính đã nhiệt tình giảng dạy và tạo mọi điều kiện giúp đỡ em trong quá trình học
tập và nghiên cứu.
Cuối cùng em xin chân thành cám ơn những người thân trong gia đình cùng toàn
thể bạn bè luôn giúp đỡ động viên nhóm những lúc gặp phải khó khăn trong quá trình
làm đồ án.
Xin chân thành cảm ơn!

SVTH: Trần Thị Dung


3


Xây dựng hệ thống HIDS sử dụng OSSEC

MỤC LỤC
LỜI MỞ ĐẦU
LỜI CAM ĐOAN..........................................................................................................3
LỜI CẢM ƠN................................................................................................................ 4
MỤC LỤC..................................................................................................................... 5
DANH MỤC HÌNH ẢNH.............................................................................................8
DANH SÁCH TỪ VIẾT TẮT.......................................................................................9
CHƯƠNG 1 : TỔNG QUAN.......................................................................................11
1.1 Lý do chọn đề tài....................................................................................................11
1.2 Mục tiêu của đề tài.................................................................................................11
1.3 Giới hạn và phạm vi của đề tài...............................................................................11
1.4 Kết quả dự kiến đạt được.......................................................................................11
1.5. Công cụ sử dụng...................................................................................................12
CHƯƠNG 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS...........13
2.1. Những mối đe dọa về bảo mật..............................................................................13
2.1.1.Mối đe dọa không có cấu trúc.............................................................................13
2.1.2.Mối đe dọa có cấu trúc (Structured Threat).........................................................13
2.1.3. Mối đe dọa từ bên ngoài (External Threat)........................................................14
2.1.4. Mối đe dọa từ bên trong (Internal Threat)..........................................................14
2.2. Các phương pháp xâm nhập hệ thống...................................................................14
2.2.1. Phương thức đánh cắp thông tin bằng Packet Sniffers.......................................14
2.2.2. Phương thức tấn công mật khẩu Password Attack.............................................15
2.2.3. Phương thức tấn công bằng Mail Relay.............................................................15
2.2.4. Phương thức tấn công hệ thống DNS.................................................................15

2.2.5. Phương thức tấn công Man-in-the-middle attack...............................................15
2.2.6. Port Scan và Ping Sweep...................................................................................16
SVTH: Trần Thị Dung

4


Xây dựng hệ thống HIDS sử dụng OSSEC
2.2.7. Phương thức tấn công lớp ứng dụng..................................................................16
2.2.8. Phương thức tấn công bằng Virus và Trojan Horse............................................16
2.3. Tổng quan về hệ thống phát hiện xâm nhập IDS...................................................17
2.3.1. Giới thiệu về IDS...............................................................................................17
2.3.2. Định nghĩa về IDS.............................................................................................17
2.3.3. Lợi ích của IDS..................................................................................................19
2.3.4. Phân biệt những hệ thống không phải là IDS.....................................................19
2.3.5. Chức năng của IDS............................................................................................20
2.3.6. Kiến trúc của hệ thống phát hiện xâm nhập IDS................................................21
2.3.7. Phân loại IDS.....................................................................................................24
CHƯƠNG 3 TÌM HIỂU VỀ HIDS.............................................................................29
3.1. Khái niệm HIDS(Host-Based IDS).......................................................................29
3.2. Cách thức hoạt động của Host-Based Intrusion Detection HIDS..........................29
3.2.1. Phát hiện chữ ký (Signature Detection).............................................................30
3.2.2. Phát hiện phân tích trạng thái giao thức (Stateful Protocol Analysis Detection).
..................................................................................................................................... 30
3.2.3. Giám sát Logfile (Monitoring logfile)...............................................................31
3.2.4. Giám sát tính toàn vẹn.......................................................................................32
3.3. Triển khai hệ thống HIDS.....................................................................................34
3.4. So sánh giữa HIDS và NIDS.................................................................................36
3.5. Ưu điểm và hạn chế của HIDS.............................................................................37
3.5.1. Ưu điểm.............................................................................................................37

3.5.2. Hạn chế.............................................................................................................38
CHƯƠNG 4. GIỚI THIỆU VỀ MÃ NGUỒN MỞ OSSEC.........................................40
4.1. Khái niệm.............................................................................................................40
4.2 Các tính năng nổi bật của OSSEC là:.................................................................40
4.3. Các thành phần của OSSEC..................................................................................42
4.3.1. Server................................................................................................................. 42
4.3.2. Agent..................................................................................................................43
4.4. Các luật trong OSSEC...........................................................................................43
4.4.1. Tổ chức các luật.................................................................................................43

SVTH: Trần Thị Dung

5


Xây dựng hệ thống HIDS sử dụng OSSEC
4.4.2 Quy trình xử lý phân tích của OSSEC HIDS......................................................47
4.5. Phương thức hoạt động của luật trong OSSEC.....................................................48
4.6. Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit......................................50
4.7. Phản ứng chủ động trong OSSEC.........................................................................50
CHƯƠNG 5 MÔ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC............................52
5.1.Triển khai hệ thống................................................................................................52
5.1.1.Triển khai cài đặt hệ thống..................................................................................52
5.1.2. Triển khai cấu hình............................................................................................52
5.2. Các chức năng chính của hệ quản lý luật..............................................................55
5.3.Ưu điểm và hạn chế của hệ thống..........................................................................57
5.3.1. Ưu điểm.............................................................................................................57
5.3.2 Hạn chế...............................................................................................................57
KẾT QUẢ ĐẠT ĐƯỢC..............................................................................................58
DANH MỤC TÀI LIỆU THAM KHẢO.....................................................................59


SVTH: Trần Thị Dung

6


Xây dựng hệ thống HIDS sử dụng OSSEC

DANH MỤC HÌNH ẢNH
Hình 2.1: Các vị trí đặt IDS trong mạng......................................................................19
Hình 2.2: Thành phần của IDS.....................................................................................22
Hình 2.3: Giải pháp kiến trúc đa nhân.........................................................................23
Hình 2.4: Hoạt động của IDS.......................................................................................24
Hình 2.5: Mô hình Host Intrusion Detection System (HIDS)......................................25
Hình 2.6: Mô hình Network Intrusion Detection System (NIDS)................................26
Hình 3.1: Mô hình kết hợp giữa HIDS và NIDS..........................................................34
Hình 3.2: Mô hình so sánh giữa HIDS và NIDS.........................................................36
Hình 4.1: Các thành phần hoạt động của OSSEC........................................................41
Hình 2.4: Sơ đồ quá trình xử lý ruscale trong OSSEC.................................................46
Hình 5.1: Trích xuất khóa từ OSSEC Server................................................................52
Hình 5.2: Trích xuất khóa từ OSSEC server................................................................53
Hình 5.3: Trích xuất khóa từ OSSEC server................................................................54
Hình 5.4: Trích xuất khóa từ OSSEC server................................................................54
Hình 5.5: Trích xuất khóa từ OSSEC server................................................................55
Hình 5.6: Giao hiện của hệ thống quản lý....................................................................56

SVTH: Trần Thị Dung

7



Xây dựng hệ thống HIDS sử dụng OSSEC

DANH SÁCH TỪ VIẾT TẮT
Từ viết tắt

Diễn giải

IP

Internet Protocol

IDS

Intrusion Detection System

HIDS

Host-based Intrusion Detection System

NIDS

Network Intrusion Detection System

ICMP

Internet Control Message Protocol

VPN


Virtual Private Network

ACL

Access Control List

URL

Uniform Resource Locator

SQL

Structured Query Language

FTP

File Transfer Protocol

HTTPS

Hypertext Transfer Protocol Secure

DHCP

Dynamic Host Configuration Protocol

DNS

Domain Name System


SSL

Secure Sockets Layer

POP3

Post Office Protocol 3

DOS

Disk Operating System

MITM

Man-in-the-Middle

WAN

Wide Area Network

LAN

Local Area Network

MAC

Media Access Control

WIDS


Wireless IDS

SVTH: Trần Thị Dung

8


Xây dựng hệ thống HIDS sử dụng OSSEC
HTML

HyperText Markup Language

CSS

Cascading Style Sheets

PHP

Hypertext Preprocessor

CHƯƠNG 1 : TỔNG QUAN
1.1 Lý do chọn đề tài.
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong mội trường doanh
nghiệp hiện nay. Tin tặc và kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhập
vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp
phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụng
Firewall, VPN… trong đó có hệ thống phát hiện và ngăn chặn xâm nhập.
Phát hiện xâm nhập là một trong những công nghệ và phướng thức dùng để phát
hiện hành động khả nghi trên cà Host và mạng. Các phương pháp phát hiện xâm nhập
bắt đầu xuất hiện những năm gần đây, sử dụng phương thức phát hiện xâm nhập , bạn

có thể thu thập, sử dụng thông tin từ những laoij tấn công đã biết để tìm ra và cảnh báo
một ai đó đang cô gắng tấn công vào mạng hay máy cá nhân.
Vì vậy,là sinh viên được trang bị những kiến thức của ngành hệ thống thông tin
với những kiến thức đã tiếp thu và vận dụng lý thuyết đó vào công việc thực tế nên em
đã chọn đề tài “Xây dựng hệ thống HIDS sử dụng OSSEC” để thực hiện đồ án tốt
nghiệp của mình với mục đích xây dựng được hệ thống phát hiện và phòng chống xâm
nhập trái phép nhằm đảm bảo an toàn hệ thống mạng cho doanh nghiệp và cá nhân
1.2 Mục tiêu của đề tài.
Xây dựng một hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập.

SVTH: Trần Thị Dung

9


Xây dựng hệ thống HIDS sử dụng OSSEC
1.3 Giới hạn và phạm vi của đề tài.
- Tìm hiểu về hệ thống ngăn chặn và phát hiện xâm nhập.
- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để tấn công
và mạng nội bộ.
Ứng dụng Ossec vào việc xây dựng hệ thống phát hiện và chống xâm nhập ( Ossec
cung cấp khả năng phát hiện xâm nhập dựa trên máy chủ toàn diện trên nhiều nền tảng
như : Linux, Solaris , AIX, HP-UX, BSD, Windown, Mac và VMware ESX.
1.4 Kết quả dự kiến đạt được.
- Nắm được các kỹ thuật xâm nhập bất hợp pháp mà các tin tặc thường sử dụng để tấn
công.
- Demo được quá trình xâm nhập và phòng chống xâm nhập.
- Xây dựng được hệ thống HIDS sử dụng mã nguồn mở OSSEC.
- Hoàn thành báo cáo chi tiết đồ án tốt nghiệp.
1.5. Công cụ sử dụng.

- Sử dụng phầm mềm OSSEC HIDS cài đặt trên Windown hoặc Ubutu 15.04.

SVTH: Trần Thị Dung

10


Xây dựng hệ thống HIDS sử dụng OSSEC

CHƯƠNG 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
2.1. Những mối đe dọa về bảo mật.
2.1.1.Mối đe dọa không có cấu trúc.
Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể
tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người
thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu
hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công
chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay
những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó là vì sở thích cá nhân,
nhưng củng có nhiều cuộc tấn công có ý đố xấu. Những trường hợp đó có ảnh hưởng
xấu đến hệ thống và hình ảnh của một công ty.
Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó
vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn. Đôi khi chỉ cần
chạy một đoạn mã là có thể phá hủy chức năng mạng của một công ty. Một Scipt
Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ
thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc
cho vùng rộng của hệ thống. Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm
khả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống.
2.1.2.Mối đe dọa có cấu trúc (Structured Threat).
Structured Threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không
như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ. Những

kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các
kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu.
Động cơ của các cuộc tấn công này thì có rất nhiều. Một số yếu tố thường thấy
có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các tổ chức tội phạm, các đối
thủ cạnh tranh hay các tổ chức sắc tộc thuê chuyên gia để thực hiện các cuộc tấn công
dạng Structured Threat. Các cuộc tấn công này thường có mục đích từ trước, như để
lấy được mã nguồn của đối thủ cạnh tranh. Cho dù động cơ là gì, thì các cuộc tấn công
như vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công Structured
Threat thành công có thể gây nên sự phá hủy cho toàn bộ hệ thống.

SVTH: Trần Thị Dung

11


Xây dựng hệ thống HIDS sử dụng OSSEC
2.1.3. Mối đe dọa từ bên ngoài (External Threat).
External Threat là các cuộc tấn công được tạo ra khi không có một quyền nào
trong hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện
các cuộc tấn công như vậy.
Các hệ thống vành đai là tuyến bảo vệ đầu tiên chống lại External Threat. Bằng
cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này
xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ
nhiều tiền và thời gian để ngăn ngừa.
2.1.4. Mối đe dọa từ bên trong (Internal Threat).
Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của
bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập
mạng và dữ liệu bí mật của một công ty. Hầu hết các công ty chỉ có các tường lửa ở

đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists)
và quyền truy cập Server để quy định cho sự bảo mật bên trong. Quyền truy cập Server
thường bảo vệ tài nguyên trên Server nhưng không cung cấp bất kỳ sự bảo vệ nào cho
mạng. Mối đe dọa ở bên trong thường được thực hiện bở các nhân viên bất bình, muốn
quay mặt lại với công ty. Khi vành đai của mạng được bảo mật, các phần tin cậy bên
trong có khuynh hướng nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua lớp bảo vệ
cứng cáp đó của mạng, mọi chuyên còn lại thường rất đơn giản.
2.2. Các phương pháp xâm nhập hệ thống.
2.2.1. Phương thức đánh cắp thông tin bằng Packet Sniffers.
Đây là một chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển
trên mạng. Sniffer thường được dùng cho Troubleshooting Network hoặc để phân tích
Traffic. Tuy nhiên, do một sô ứng dụng gởi dữ liệu qua mạng dưới dạng Clear Text
(Telnet, FTP, SMTP, POP3,…) nên Sniffer cũng là một công cụ cho Hacker để bắt các
thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất các thành
phần khác của mạng.

SVTH: Trần Thị Dung

12


Xây dựng hệ thống HIDS sử dụng OSSEC
2.2.2. Phương thức tấn công mật khẩu Password Attack.
Các Hacker tấn công Password bằng một số phương thức như: Brute-force
attack, chương trình Trojan Horse, IP Spoofing, và Packet Sniffer.
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã
hóa. Brute-force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra
mật khẩu. Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả
năng để tìm ra là luôn luôn nếu không giới hạn thời gian. Brute force chỉ được dùng
khi các phương pháp khác đều không có hiệu quả.

2.2.3. Phương thức tấn công bằng Mail Relay.
Đây là phương pháp phổ biến hiện nay, Email server nếu cấu hình không chuẩn
hoặc username và password của người sử dụng mail bị lộ thì Hacker có thể lợi dụng
điểm này để gửi mail gây ngập mạng, phá hoại hệ thống email khác. Ngoài ra với hình
thức gắn thêm các đoạn Script trong mai Hacker có thể gây ra cuộc tấn công Spam
cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các
cuộc tấn công DOS vào một mục tiêu nào đó.
2.2.4. Phương thức tấn công hệ thống DNS.
Hệ thống DNS thực chất là một tập hợp hệ thống phần cứng và các công cụ
phần mềm phục vụ cho nhiệm vụ phân giải tên miền.
Ngoài các hệ thống phần cứng và các công cụ phần mềm chạy dưới dạng dịch
vụ thì cần có các giao thức DNS (Bao gồm định dạng gói tin, giao thức truyền, …) để
có thể tiến hành trao đổi thông tin giữa máy client với các máy chủ DNS và giữa các
máy chủ DNS với nhau.
Chính vì DNS hội tụ đầy đủ các yếu tố: Phần cứng, phần mềm và giao thức như
đã trình bày ở trên nên hệ thống DNS luôn luôn tiềm ẩn các lỗ hổng mà hacker có thể
sử dụng để khai thác và làm chủ hệ thống, từ đó gây ra các ảnh hưởng tới người dùng.
2.2.5. Phương thức tấn công Man-in-the-middle attack.
Một trong những hình thức tấn công mạng thường thấy nhất được sử dụng để
chống lại những cá nhân và các tổ chức lớn chính là các tấn công Man-in-the-Middle
(MITM). Kiểu tấn công này thì attacker như một kẻ nghe trộm. MITM hoạt động bằng
cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng.
Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách

SVTH: Trần Thị Dung

13


Xây dựng hệ thống HIDS sử dụng OSSEC

trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông
qua host của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ
liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm
soát sâu hơn những nạn nhân của nó.
2.2.6. Port Scan và Ping Sweep.
Kỹ thuật này được tiến hành nhằm những mục đích như sau:
-

Xác định những dịch vụ trong mạng.
Xác định các host và thiết bị đang vận hành trong mạng.
Xác định hệ điều hành trong hệ thống.
Xác định tất cả các điểm yếu trong mạng.

Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host đang
sống trong một môi trường. Từ đó, hacker sử dụng công cụ port scans xoay vòng qua
tất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạy trên host đã
tìm thấy bởi ping sweeps.
2.2.7. Phương thức tấn công lớp ứng dụng.
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như
sendmail, HTTP hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng port
cho qua bởi Firewall. Ví dụ, các Hacker tấn công Web Server bằng cách sử dụng TCP
port 80, Mail Server bằng port 25.
2.2.8. Phương thức tấn công bằng Virus và Trojan Horse.
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và
ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào
một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan
horse thì hoạt động khác hơn.
Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn

giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse
sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và
chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong
address book của user đó.

SVTH: Trần Thị Dung

14


Xây dựng hệ thống HIDS sử dụng OSSEC
2.3. Tổng quan về hệ thống phát hiện xâm nhập IDS.
2.3.1. Giới thiệu về IDS.
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài
báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên
cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các
việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ
thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988
trước khi được sử dụng tại máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996,
các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS bắt đầu phát triển
dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997, IDS mới được biết đến
rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS. Một năm sau đó,
Cissco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp
IDS tên là Wheel.
2.3.2. Định nghĩa về IDS.
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống
phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện sảy ra, giám sát
lưu thông mạng, và cảnh báo các hoạt động khả thi cho người quản trị.[1]
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách
hợp lí để nhận ra những mối nguy hại có thể tấn công. Chúng phát hiện những hoạt

động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động xâm nhập
bằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và những
khu vực khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa tấn công từ bên trong hay tấn công từ bên ngoài.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như phần mềm
diệt virus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các
dấu hiệu khác thường.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu
sau:
-

Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm

SVTH: Trần Thị Dung

15


Xây dựng hệ thống HIDS sử dụng OSSEC
dụng (hành động thông thường bị coi là bất thường được gọi là false
-

positive).
Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực, tức là hành động xâm nhập trái phép

-


phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng đến hệ thống.
Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại các

-

cuộc xâm nhập trái phép.
Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trạng
thái xấu nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ
thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số
lượng host nhỏ. Với sự phát triển và mạnh của mạng máy tính, hệ thống có
thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.

Hình sau minh họa các vị trí thường cài đặt

Hình
2.1:Lợi
Các
tríIDS.
đặt IDS trong mạng.
2.3.3.
íchvị
của
Lợi thế của hệ thống phát hiện xâm nhập IDS là có thể phát hiện được những
kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai
do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu
hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo từ những hành động
bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ
thống đều có ít khả năng giới hạn các cảnh báo nhầm.
Sử dụng hệ thống IDS để nâng cao khả năng quan lý và bảo vệ mạng, lợi ích
mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn

SVTH: Trần Thị Dung

16


Xây dựng hệ thống HIDS sử dụng OSSEC
công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm
ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có
thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi
trường mạng.
2.3.4. Phân biệt những hệ thống không phải là IDS.
Theo một cách riêng biệt nào đó mà các thiết bị bảo mật dưới đây không phải là
IDS:
-

Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề
tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống

-

kiểm tra lưu lượng mạng.
Các công cụ đánh giá lỗ hỗng kiểm tra lỗi và lỗ hổng trong hệ điều hành,

-

dịch vụ mạng (các bộ quét bảo mật).
Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã độc
nguy hiểm như virus, trojan horse, worm,… Mặc dù những tính năng mặc
định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng


-

bảo mật hiệu quả.
Tường lửa (Firewall).
Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,…

2.3.5. Chức năng của IDS.
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi
những đe dọa với ciệc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.
Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho
các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ
khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những
điểm yếu của hệ thống khác… IDS có được chấp nhận là một thành phần thêm vào
cho mọi hệ thống an toàn hay không vẫn là một câu hỏi cho nhiều nhà quản trị hệ
thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được và đưa có
thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS[2]:
-

Bảo vệ tính toàn vẹn (Integrity) của dữ liệu, bảo đảm sự nhất quán của dữ
liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất

-

hợp pháp hoặc phá hoại cho dữ liệu.
Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.

SVTH: Trần Thị Dung

17



Xây dựng hệ thống HIDS sử dụng OSSEC
-

Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy

-

nhập thông tin của người dùng hợp pháp.
Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng được khai thác tài

-

nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp.
Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sữa chữa,…

Nói tóm lại có thể tóm tắt IDS như sau:
 Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ:
 Giám sát: lưu lượng mạng và các hoạt đọng khả nghi.
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và quản trị viên.
 Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản
trị để có những hành động thiết thực chống lại kẻ xâm nhập và phá
hoại.
 Chức năng mở rộng:
 Phân biệt: tấn công bên trong và tấn công từ bên ngoài.
 Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc
nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển
nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng

cũng như cách bố trí bảo vệ phòng thử của các nhà quản trị mạng.
2.3.6. Kiến trúc của hệ thống phát hiện xâm nhập IDS.
a. Thành phần của IDS.
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thành phần
thu thập gói tin (Information Collection), thành phần phân tích gói tin (Detection) và
thành phần phản hồi (Respotion). Trong ba thành phần này, thành phần phân tích gói
tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quan quyết định nên cần
được phân tích để hiểu rõ hơn về kiến trúc của một hệ thống phát hiện xâm nhập.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu. Bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ
lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài.

SVTH: Trần Thị Dung

18


Xây dựng hệ thống HIDS sử dụng OSSEC
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương

thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
Hình 2.2: Thành phần của IDS.
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện
cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông
thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các
tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến
cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn

(tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả
chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một
tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng
được bảo vệ và phụ thuộc vào phương pháp được đưa ra. Tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy
chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. IDS có
thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện
các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động
và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc
biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết
định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân
tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía
cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có

SVTH: Trần Thị Dung
Hình 2.3: Giải pháp kiến trúc đa nhân.

19


Xây dựng hệ thống HIDS sử dụng OSSEC
thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân cókhả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các

tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).
Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất

cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ
thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các
bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là
chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể
được đưa ra để chọn lọc và thu thập dữ liệu.
b. Nguyên lý hoạt động.
Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:
-

Thu thập thông tin (Infotmation Source): kiểm tra tất cả các gói tin trên

-

mạng (Information Monitoring).
Sự phân tích (Analysis): phân tích tất cả các gói tin đã thu thập để cho biết

-

hành động nào là tấn công (Intruction Detection).
Xuất thông tin cảnh báo (Response): hành động cảnh báo cho sự tấn công
được phân tích ở trên nhờ bộ phận thông báo (Notification).

SVTH: Trần Thị Dung

20


Xây dựng hệ thống HIDS sử dụng OSSEC

Hình 2.4: Hoạt động của IDS.

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các
quản trị viên hệ thống về sự việc này. Bước tieeos theo được thực hiện bởi các quản trị
hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng
khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ
thống, cơ sở hạ tầng hợp lệ,…) theo các chính sách bảo mật của các tổ chức. Một IDS
là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý
các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các cuộc tấn
công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ vấn đề xảy ra
do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các cuộc tấn công hoặc các
chữ ký thông qua email.
2.3.7. Phân loại IDS.
a. Host Intrusion Detection System (HIDS).
Những hệ thống HIDS được cài đặt như là những agent (tác nhân) trên một
host, kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều

SVTH: Trần Thị Dung

21


Xây dựng hệ thống HIDS sử dụng OSSEC
máy tính trong hệ thống mạng. HIDS thường được đặt trên các host xung yếu của tổ
chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên.
Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả những
hoạt động hệ thống, như các file log những thông điệp báo lỗi trên hệ thống máy chủ
và những lưu lượng mạng thu thập được. Trong khi những đầu dò của mạng có thể
phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định

xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ
có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công

(compromised host).
Hình 2.5: Mô hình Host Intrusion Detection System (HIDS).
Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not
all):
-

Các tiến trình.
Các entry của Registry.
Mức độ sử dụng CPU.
Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
Một vài thông số khác.

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả
nghi trên hệ thống file sẽ gây ra báo động.
b. Network Intrusion Detection System (NIDS).

SVTH: Trần Thị Dung
Hình 2.6: Mô hình Network Intrusion Detection System (NIDS).

22


Xây dựng hệ thống HIDS sử dụng OSSEC

NIDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để
giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được
thiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort).

NIDS sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò
này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ
lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân
tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu
hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình
nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor
được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã
được định nghĩa để phát hiện đó là tấn công hay không.
-

-

Ưu điểm của NIDS.
 Quản lý được một phân đoạn mạng (network segment).
 Trong suốt với người sử dụng và kẻ tấn công.
 Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.
 Tránh được việc bị tấn công dịch vụ đến một host cụ thể.
 Có khả năng xác định được lỗi ở tầng network.
 Độc lập với hệ điều hành.
Hạn chế của NIDS.

SVTH: Trần Thị Dung

23


Xây dựng hệ thống HIDS sử dụng OSSEC
 Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất
thường mà IDS vẫn báo.
 Không thể phân tích được các lưu lượng đã được mã hóa như SSH,

IPSec, SSL,…
 NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới
nhất để thực sự hoạt động hiệu quả.
 Không thể cho biết việc mạng bị tấn công có thành công hay không,
để người quản trị tiến hành bảo trì hệ thống.
 Một trong những hạn chế là giới hạn băng thông. Những bộ thu thập
dữ liệu phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tích
chúng. Khi tốc độ mạng tăng lên thì khả năng của bộ thu thập thông
tin cũng vậy. Một giải pháp là phải đảm bảo cho mạng được thiết kế
chính xác.
Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệ
thống IDS là phân mảnh dữ liệu gói tin. Mỗi giao thức có một kích cỡ gói dữ liệu có
hạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu bị
phân mảnh. Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu. Thứ tự sắp xếp không
thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp lại chúng.
Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh
chồng chéo. Một bộ cảm biến không phát hiện được các hoạt động xâm nhập nếu
không sắp xếp gói tin lại một cách chính xác.

CHƯƠNG 3 TÌM HIỂU VỀ HIDS.
3.1. Khái niệm HIDS(Host-Based IDS)
HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host).Hệ
thống phát hiện xâm nhập dựa trên máy chủ (HIDS) là hệ thống giám sát hệ thống máy
tính được cài đặt để phát hiện sự xâm nhập và / hoặc sử dụng sai, và phản hồi bằng
cách đăng nhập hoạt động và thông báo cho cơ quan được chỉ định. Một HIDS có thể
được coi là một tác nhân theo dõi và phân tích xem bất cứ điều gì hay bất cứ ai, dù là
nội bộ hay bên ngoài, đã phá vỡ chính sách bảo mật của hệ thống.Điều làm nên sự
khác biệt của HIDS so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khác
nhau như các máy chủ, máy trạm làm việc hoặc máy notebook. Phương pháp này giúp


SVTH: Trần Thị Dung

24


Xây dựng hệ thống HIDS sử dụng OSSEC
các tổ chức linh động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng của
nó.
HIDS được cài đặt như một agent trên một host cụ thể. HIDS phân tích log
của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các
vi phạm bảo mật và các chính sách đã được đặt ra. Nếu thấy có vi phạm HIDS có
thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và
có thể ngừng hành động lại trước khi nó xảy ra.
3.2. Cách thức hoạt động của Host-Based Intrusion Detection HIDS.
Với các cuộc tấn công trong không gian mạng và kẻ tấn công có thể đánh cắp
thông tin của một hệ thống khi bị chiếm quyền truy cập, việc bảo mật cho một công ty
hay một tổ chức ngày càng được chú trọng. Chúng ta biết rằng một bức tường lửa
không đủ và không phải là công cụ duy nhất mà chúng ta dựa vào vì sự an toàn. Chúng
ta đã chuyển sang một giai đoạn mới mà chúng ta có thể thực hiện các bước để bảo
đảm cơ sở hạ tầng CNTT của mình khỏi phần mềm độc hại với giao diện đa lớp. Phần
mềm phát hiện xâm nhập (IDS) là một ứng dụng giám sát mạng hoặc giám sát một hệ
thống cho hoạt động đáng ngờ và thường được ghép nối với tường lửa để tăng tính bảo
mật. Một loại khác thuộc IDS là phần mềm phát hiện xâm nhập dựa trên máy chủ
(HIDS). HIDS là một hệ thống rất đa dạng của IDS.
Như tên của nó cho thấy, HIDS sẽ được cài đặt trong một hệ thống máy chủ duy
nhất để theo dõi và báo cáo về cấu hình và hoạt động ứng dụng của hệ thống. Lớp bảo
vệ bổ sung này đảm bảo mọi thứ khi vượt qua tường lửa sẽ không khiến hệ thống dễ bị
tổn thương. HIDS có nhiều khía cạnh, chẳng hạn như phát hiện chữ ký (Signature
Detection), phát hiện sự bất thường (Anomaly Detection), phát hiện phân tích trạng
thái giao thức (Stateful Protocol Analysis Detection), giám sát logfile (Monitoring

logfile) và giám sát tính toàn vẹn (Monitoring integrity) để bảo vệ hệ thống khỏi các
mối đe dọa nguy hiểm.
3.2.1. Phát hiện chữ ký (Signature Detection).
Một trong những phương pháp khác mà HIDS sử dụng là phát hiện chữ ký. Còn
được gọi là kết hợp mẫu hoặc phát hiện sử dụng sai chữ ký, nó được sử dụng để phát
hiện các cuộc tấn công đã biết bằng các hành động cụ thể đã thực hiện. Các hành động
cụ thể được gọi là chữ ký. Phương pháp này phải được cập nhật cho kết quả tối ưu, vì
SVTH: Trần Thị Dung

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×