Tải bản đầy đủ (.pdf) (73 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Tiến sĩ

Phát hiện và ngăn chặn xâm nhập trái phép

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.18 MB, 73 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

BẠCH QUỐC CƯỜNG

PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP
TRÁI PHÉP

LUẬN VĂN THẠC SỸ KỸ THUẬT
CÔNG NGHỆ THÔNG TIN

HÀ NỘI - 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

BẠCH QUỐC CƯỜNG

PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP
TRÁI PHÉP

Chuyên ngành: Công nghệ thông tin
Mã số: CB160534

LUẬN VĂN THẠC SỸ KỸ THUẬT
CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS.TS. NGUYỄN LINH GIANG


HÀ NỘI - 2019


LỜI CAM KẾT
Họ và tên học viên: Bạch Quốc Cường
Điện thoại liên lạc: 0903488841

Email:

Lớp: 16BCNTT

Hệ đào tạo: Chính quy

Tơi xin cam đoan luận văn thạc sỹ kỹ thuật này là do tôi nghiên cứu và được thực
hiện dưới sự hướng dẫn khoa học của PGS.TS Nguyễn Linh Giang. Các kết quả nêu trong
LVTN là trung thực, là thành quả của riêng tôi, không sao chép theo bất kỳ công trình nào
khác. Tất cả những tham khảo trong LVTN – bao gồm hình ảnh, bảng biểu, số liệu, và các
câu từ trích dẫn – đều được ghi rõ ràng và đầy đủ nguồn gốc trong danh mục tài liệu tham
khảo. Nếu có vấn đề về sai phạm bản quyền, tơi xin hoàn toàn chịu trách nhiệm trước nhà
trường.
Hà Nội, ngày …… tháng ……năm 2019
Học viên

Bạch Quốc Cường

i


LỜI CẢM ƠN
Để hoàn thành tốt luận văn tốt nghiệp, em đã nhận được sự giúp đỡ của nhiều đơn

vị , tổ chức, cá nhân. Em xin được bày tỏ lòng biết ơn sâu sắc đến tất cả các cá nhân và
đơn vị đã tạo điều kiện giúp đỡ trong quá trình học tập và nghiên cứu đề tài.
Trước hết em xin gửi lời cảm ơn tới quý thầy cô trong khoa Công nghệ thông tin
trường Đại học Bách Khoa Hà Nội, với sự quan tâm chỉ bảo của các thầy cơ đến nay em
đã hồn thành luận văn, đề tài:
“Phát hiện và ngăn chặn xâm nhập trái phép”
Đặc biệt em xin gửi lời cảm ơn chân thành nhất tới PGS.TS. Nguyễn Linh Giang đã
quan tâm giúp đỡ, hướng dẫn em hoàn thành tốt luận văn trong thời gian qua.
Với điều kiện thời gian cũng như kinh nghiệm còn hạn chế, luận văn này khơng thể
tránh được những thiếu sót. Em rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các
thầy cơ để có điều kiện bổ sung.
Em xin chân thành cảm ơn!
Hà Nội, ngày…..tháng…...năm 2019
Tác giả LVTN

Bạch Quốc Cường

ii


MỤC LỤC
LỜI CAM KẾT ......................................................................................................................................... i
LỜI CẢM ƠN .......................................................................................................................................... ii
MỤC LỤC............................................................................................................................................... iii
DANH SÁCH HÌNH VẼ ........................................................................................................................ vi
DANH MỤC CHỮ VIẾT TẮT ............................................................................................................. viii
PHẦN MỞ ĐẦU ...................................................................................................................................... 1
1. Lý do chọn đề tài ................................................................................................................................... 1
2. Mục đích nghiên cứu ............................................................................................................................. 1
3. Đối tượng và phạm vi nghiên cứu ......................................................................................................... 2

4. Phương pháp nghiên cứu ....................................................................................................................... 2
5. Kết quả, đóng góp của luận văn ............................................................................................................ 2
6. Kết cấu của luận văn ............................................................................................................................. 2
CHƯƠNG 1. NGUY CƠ MẤT AN TOÀN AN NINH MẠNG .............................................................. 4
1.1. Tổng quan chung về tình hình an ninh mạng ..................................................................................... 4
1.2. Các mối đe dọa an ninh mạng ............................................................................................................ 6
1.2.1 Intergrity..................................................................................................................................... 6
1.2.2 Confidentiality ........................................................................................................................... 7
1.2.3 Availability................................................................................................................................. 7
1.3 Tổng quan các phương pháp bảo mật trong an ninh mạng ................................................................. 8
1.3.1 Tường lửa – Firewall.................................................................................................................. 8
1.3.2 Công nghệ mạng riêng ảo - VPN ............................................................................................. 10
1.3.3 Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS .............................................................. 11
CHƯƠNG 2. TỔNG QUAN HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP ................. 12
2.1. Lịch sử ra đời ................................................................................................................................... 12
2.2. Hệ thống IDS.................................................................................................................................... 13
2.2.1 Các thành phần của hệ thống IDS ............................................................................................ 14
2.2.2 Các phương pháp phát hiện xâm nhập phổ biến ...................................................................... 15
2.2.2.1

Nhận biết qua dấu hiệu - Signature Based Detection .................................................... 15

2.2.2.2

Nhận biết qua sự bất thường - Anomaly Based Detection ............................................. 16

2.2.2.3

Nhận biết qua phân tích giao thức – Stateful Protocol Analysis ................................... 18


2.3.3 Phân loại hệ thống IDS ............................................................................................................ 18
2.3.3.1 Network-based IDS (NIDS) .................................................................................................. 19
2.3.3.2 Host-based IDS (HIDS) ........................................................................................................ 21
2.2.2.3 Hybrid Intrusion Detection System ....................................................................................... 23

iii


2.3.3.4 Wireless IDS ......................................................................................................................... 23
2.3.3.5 Network Behavior Analysis (NBA) ...................................................................................... 24
2.3. Hệ thống IPS .................................................................................................................................... 25
2.3.1

Các thành phần của hệ thống IPS ....................................................................................... 25

2.3.2 Phân loại hệ thống IPS ............................................................................................................. 26
2.3.2
2.4

Mơ hình hệ thống IPS......................................................................................................... 27
Các phương pháp tấn cơng phổ biến và cách phòng chống ......................................................... 28

2.4.1 Denial of Service attack (Tấn công từ chối dịch vụ)................................................................ 28
2.4.2 Scanning và Probe (Quét và thăm dò) ...................................................................................... 28
2.4.3 Password attack (Tấn công mật khẩu)...................................................................................... 28
2.4.4 Privilege-grabbing (Chiếm đặc quyền) .................................................................................... 29
2.4.5 Hostile code insertion (Cài đặt mã nguy hiểm) ........................................................................ 29
2.4.6 Advanced Persistent Threat (Tấn cơng có chủ đích)................................................................ 30
2.5. Các giải pháp IDS, IPS trên thị trường............................................................................................. 30
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP CHO HỆ THỐNG

MẠNG MOBIFONE .............................................................................................................................. 32
3.1 Khảo sát và phân tích u cầu ........................................................................................................... 32
3.1.1 Các chuẩn an tồn thông tin ..................................................................................................... 32
3.1.2 Nội dung khảo sát .................................................................................................................... 34
3.1.3 Mơ hình hệ thống mạng ........................................................................................................... 35
3.1.4 Mơ hình thiết bị mạng .............................................................................................................. 36
3.1.4.1 Hệ thống máy chủ dịch vụ .................................................................................................... 36
3.1.4.2 Thiết bị mạng ........................................................................................................................ 36
3.1.4.3 Thiết bị bảo mật .................................................................................................................... 36
3.1.5 Phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng .................................................................. 37
3.1.5.1 Nguy cơ mất an ninh, an toàn với hệ thống mạng nội bộ ..................................................... 37
3.1.5.2 Nguy cơ tấn công mạng với các hệ thống cung cấp dịch vụ ................................................. 37
3.1.5.3 Nguy cơ bảo mật trong mơi trường ảo hóa ........................................................................... 38
3.1.3 u cầu đối với hệ thống ......................................................................................................... 38
3.2 Tổng quan cấu trúc của hệ thống IPS triển khai................................................................................ 39
3.2.1 Thiết bị IBM Security Network IPS XGS 7100 ....................................................................... 40
3.2.2 SiteProtector ............................................................................................................................. 41
3.2.3 Sơ đồ kết nối hệ thống ............................................................................................................. 41
3.2.4 Đánh giá chất lượng hệ thống .................................................................................................. 41
3.3 Đánh giá kết quả................................................................................................................................ 42

iv


3.3.1 Kết quả đạt được ...................................................................................................................... 42
3.3.2 Các chức năng của hệ thống..................................................................................................... 43
3.3.3 Một số các bài test thử nghiệm hệ thống.................................................................................. 48
3.3.3.1 Kiểm tra khả năng bảo vệ đối với các ứng dụng Instant Messeging (Skype) ....................... 49
3.3.3.2 Kiểm soát khả năng truy nhập các website HTTPS (giải mã SSL) ....................................... 50
3.3.3.3 Phát hiện và ngăn chặn tấn công vào máy chủ Windows Server/Windows 7 (Virtual Patching và

Zero-day)................................................................................................................................. 51
3.3.3.4 Phát hiện và ngăn chặn tấn công vào máy chủ Web Server .................................................. 53
3.3.3.5 Phát hiện và ngăn chặn tấn công Buffer Overflow Attacks .................................................. 54
3.3.3.6 Phát hiện và ngăn chặn tấn công P2P, ActiveX .................................................................... 55
3.3.3.7 Phát hiện và ngăn chặn sâu mạng worm ............................................................................... 56
3.3.3.8 Phát hiện và ngăn chặn Spyware ........................................................................................... 57
3.3.3.9 Phát hiện và ngăn chặn tấn công DoS ................................................................................... 59
3.3.3.10 Kiểm tra và giám sát thông tin cá nhân được trao đổi qua mạng ........................................ 60
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ............................................................................................. 62
TÀI LIỆU THAM KHẢO ...................................................................................................................... 63

v


DANH SÁCH HÌNH VẼ
Hình 1 Sơ đồ bối cảnh và sự phát triển các nguy cơ an tồn thơng tin ......................................................... 5
Hình 2 Mơ hình Firewall đơn giản ................................................................................................................ 8
Hình 3 Mơ hình mạng VPN ........................................................................................................................ 10
Hình 4 Nhận biết qua dấu hiện - Signature Based Detection ...................................................................... 15
Hình 5 Nhận biết qua sự bất thường - Anomaly Based Detection .............................................................. 16
Hình 6 Mơ hình NIDS ................................................................................................................................. 19
Hình 7 Mơ hình HIDS ................................................................................................................................. 22
Hình 8 Mơ hình Wireless IDS ..................................................................................................................... 23
Hình 9 Mơ hình NBA .................................................................................................................................. 24
Hình 10 Các Tier chuẩn của NIST .............................................................................................................. 34
Hình 11 Hiện trạng mạng MobiFone .......................................................................................................... 36
Hình 12 Các dịch vụ xây dựng trong giai đoạn 2 ........................................................................................ 39
Hình 13 Các dịch vụ xây dựng trong giai đoạn 3 ........................................................................................ 39
Hình 14 Các loại tấn cơng XGS7100 hỗ trợ bảo vệ .................................................................................... 40
Hình 15 Sơ đồ kết nối hệ thống................................................................................................................... 41

Hình 16 Các policy hiện tại đang áp dụng trên hệ thống P1 ....................................................................... 43
Hình 17 Các policy đang áp dụng trên hệ thống P2 .................................................................................... 43
Hình 18 Hệ thống IPS giám sát lưu lượng theo các protocol ...................................................................... 45
Hình 19 Hệ thống IPS giám sát các event trong mạng ................................................................................ 46
Hình 20 Hệ thống IPS giám sát các event hệ thống .................................................................................... 46
Hình 21 Các policy mẫu có thể áp dụng trên hệ thống ............................................................................... 47
Hình 22 Các mẫu tấn cơng đang có trong hệ thống .................................................................................... 47
Hình 23 Chuẩn bị mơi trường thử nghiệm .................................................................................................. 48
Hình 24 Sơ đồ kết nối thử nghiệm .............................................................................................................. 48
Hình 25 Luồng lưu lượng bài test 1 ............................................................................................................ 49
Hình 26 Thiết lập mơi trường bài test 1 ...................................................................................................... 49
Hình 27 Kết quả bài test 1 – Log trên IPS................................................................................................... 50
Hình 28 Luồng lưu lượng bài test 2 ............................................................................................................ 50
Hình 29 Kết quả bài test 2 – truy cập người dùng....................................................................................... 51
Hình 30 Kết quả bài test 2 - Log trên IPS ................................................................................................... 51
Hình 31 Luồng lưu lượng bài test 3 ............................................................................................................ 51
Hình 32 Chuẩn bị mơi trường bài test 3 ...................................................................................................... 52
Hình 33 Kết quả bài test 3 - Khi khơng có IPS bảo vệ................................................................................ 52
Hình 34 Kết quả bài test 3 - Thực hiện tấn công ......................................................................................... 53
Hình 35 Kết quả bài test 3 - Log trên IPS ................................................................................................... 53

vi


Hình 36 Luồng lưu lượng bài test 4 ............................................................................................................ 53
Hình 37 Chuẩn bị mơi trường bài test 4 ...................................................................................................... 54
Hình 38 Kết quả bài test 4 - Log trên IPS ................................................................................................... 54
Hình 39 Luồng lưu lượng bài test 5 ............................................................................................................ 54
Hình 40 Chuẩn bị mơi trường bài test 5 ...................................................................................................... 55
Hình 41 Kết quả bài test 5 - Log trên IPS ................................................................................................... 55

Hình 42 Luồng lưu lượng bài test 6 ............................................................................................................ 55
Hình 43 Chuẩn bị mơi trường bài test 6 ...................................................................................................... 56
Hình 44 Kết quả bài test 6 - Log trên IPS ................................................................................................... 56
Hình 45 Luồng lưu lượng bài test 7 ............................................................................................................ 56
Hình 46 Chuẩn bị mơi trường bài test 7 ...................................................................................................... 57
Hình 47 Kết quả bài test 7 - Log trên IPS ................................................................................................... 57
Hình 48 Lưu lượng bài test 8 ...................................................................................................................... 57
Hình 49 Chuẩn bị mơi trường bài test 8 ...................................................................................................... 58
Hình 50 Kết quả bài test 8 - truy cập người dùng ....................................................................................... 58
Hình 51 Kết quả bài test 8 - Log trên IPS ................................................................................................... 59
Hình 52 Luồng lưu lượng bài test 9 ............................................................................................................ 59
Hình 53 Chuẩn bị mơi trường bài test 9 ...................................................................................................... 60
Hình 54 Kết quả bài test 9 - Log trên IPS ................................................................................................... 60
Hình 55 Luồng lưu lượng bài test 10 .......................................................................................................... 60
Hình 56 Chuẩn bị mơi trường bài test 10 .................................................................................................... 61
Hình 57 Kết quả bài test 10 - Log trên IPS ................................................................................................. 61

vii


DANH MỤC CHỮ VIẾT TẮT
STT
1
2
3
4
5
6
7
8

9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Tên viết tắt
AI
ANTT
API
APT
CNTT
DDOS
DMZ
DNS
DoS
HIDS
IDP

IDS
IoT
IPS
LAN
NAP
NBA
NIC
NIDS
P2P
SIEM
SOC
TCP
UDP
XSS

Tên đầy đủ
Artificial Intelligence
An ninh thông tin
Application Programming Interface
Advanced Persistent Threat
Công nghệ thông tin
Distributed Denial of Service
Demilitarized Zone
Domain name server
Denial of Service
Host-based IDS
Intrusion Detection and Prevention
Intrusion detection system
Internet of thing
Intrusion Prevention Systems

Local Area Network
Network Access Policy
Network Behavior Analysis
Network Interface Card
Network-based IDS
Peer to Peer
Security information and event management
Security Operations Center
Transmission Control Protocol
User Datagram Protocol
Cross – site scripting

viii


PHẦN MỞ ĐẦU
1. Lý do chọn đề tài
Thế giới đang chứng kiến cuộc cách mạng công nghiệp 4.0 với sự phát triển
bùng nổ các loại khoa học kỹ thuật mới, trong đó những yếu tố cốt lõi chính là Trí
tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) và dữ liệu lớn (Big
Data). Đây là xu thế công nghệ tất yếu mà Việt Nam phải hướng đến để bắt kịp
các nước phát triển trên thế giới. Tuy nhiên, cách mạng công nghiệp lần thứ tư
cũng mang đến nhiều thách thức cho các tổ chức và doanh nghiệp Việt Nam, đặc
biệt về vấn đề hạ tầng công nghệ, an tồn và an ninh thơng tin.
Đặc biệt, trong môi trường bùng nổ Internet và công nghệ hiện nay thì dữ liệu,
thơng tin chính là tài sản q giá nhất; mang tính quyết định việc thành bại của
mỗi cơng ty, doanh nghiệp trong các lĩnh vực viễn thông, công nghệ. Những dữ
liệu, thông tin này luôn đứng trước nguy cơ tấn công từ các đối thủ cạnh tranh,
hacker, tội phạm mạng… Sự gia tăng của các chiến dịch tấn cơng có chủ đích
(APT) của tin tặc trong những năm gần đây chính là lời cảnh tỉnh rõ nhất cho chúng

ta về vấn đề cấp thiết của việc xây dựng hệ thống giám sát, đảm bảo an tồn thơng
tin; phát hiện và ngăn chặn xâm nhập trái phép trên các hệ thống thông tin quan
trọng tại mỗi tổ chức, doanh nghiệp và các cơ quan nhà nước.
Vì vậy, em lựa chọn đề tài: “Phát hiện và ngăn chặn xâm nhập trái phép”
với mục tiêu nghiên cứu về thành phần, phân loại, quy trình xử lý của các hệ thống
IDS/IPS, trên cơ sở đó triển khai xây dựng một hệ thống IDS/IPS phù hợp với nhu
cầu thực tế môi trường doanh nghiệp cơng nghệ.
2. Mục đích nghiên cứu
Mục đích nghiên cứu của luận văn bao gồm các mục đích chính như sau:
-

Tìm hiểu về nguy cơ mất an tồn an ninh mạng hiện tại, xu hướng bảo mật
trong giai đoạn hiện nay.

-

Tìm hiểu về kiến trúc thiết kế tổng quan của các hệ thống phát hiện và ngăn
chặn xâm nhập, bao gồm các thành phần, phân loại, mơ hình, thấy được các
ưu điểm, nhược điểm của mỗi loại IDS/IPS đối với mỗi loại tấn công khác
nhau.

-

Triển khai, phát triển hệ thống phát hiện và ngăn chặn xâm nhập dựa trên

khảo sát về hiện trạng mạng hiện tại tại một môi trường mạng doanh nghiệp cụ

1



thể, ở đây là Tổng Công ty Viễn thông MobiFone, giúp nâng cao an tồn, an
ninh thơng tin.
3. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu trong luận văn bao gồm hệ thống phát hiện và ngăn
chặn xâm nhập nói chung. Trong đó, Luận văn tập trung vào nghiên cứu giải pháp
IPS trong môi trường thực tế của doanh nghiệp để đảm bảo an tồn thơng tin.
Luận văn nghiên cứu một cách tổng quan về các hệ thống phát hiện và ngăn
chặn xâm nhập: đặc điểm, ưu điểm và nhược điểm của hệ thống. Nghiên cứu các
giải pháp xây dựng hệ thống đã có bao gồm trả phí và mã nguồn mở. Các vấn đề
an tồn thơng tin tại Tổng Công ty Viễn thông MobiFone. Nghiên cứu các giải
pháp đảm bảo an tồn thơng tin hiện nay.
4. Phương pháp nghiên cứu
Nghiên cứu đặc điểm của hệ thống phát hiện và ngăn chặn xâm nhập nói
chung. Nghiên cứu các giải pháp đã được xây dựng tại các công ty, doanh nghiệp,
các giải pháp thu phí và mã nguồn mở.
Phân tích, đánh giá hiện trạng mạng lưới tại Tổng Cơng ty Viễn thông
MobiFone, trên cơ sở nghiên cứu đã đúc kết triển khai xây dựng hệ thống IPS theo
yêu cầu đã khảo sát.
5. Kết quả, đóng góp của luận văn
Luận văn phân tích và làm rõ các đặc điểm, thành phần, phân loại, các ưu
điểm, nhược điểm của mơ hình hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS.
Từ đó, ứng dụng để triển khai xây dựng hệ thống IPS trên một mơ hình mạng
doanh nghiệp cụ thể, giúp tăng cường an ninh thơng tin.
Luận văn có thể làm tài liệu tham khảo, làm cơ sở cho các doanh nghiệp
ứng dụng phát triển, triển khai các hệ thống IDS/IPS phù hợp yêu cầu đặc thù của
mình, giúp tăng cường an tồn an ninh thơng tin, nâng cao hiệu quả hoạt động của
doanh nghiệp.
6. Kết cấu của luận văn
Ngoài lời mở đầu, kết luận, danh mục tài liệu tham khảo, danh mục chữ viết
tắt, danh mục bảng biểu, luận văn bao gồm ba chương:


2


Chương 1. Nguy cơ mất an toàn an ninh mạng, Chương này tập trung
nghiên cứu về hai nội dung chính: (i) Tổng quan chung về tình hình an ninh mạng.
(ii) Các mối đe dọa an ninh mạng. (iii) Tổng quan các phương pháp bảo mật trong
an ninh mạng.
Chương 2. Tổng quan hệ thống phát hiện và ngăn chặn xâm nhập,
Chương này nghiên cứu về các vấn đề (i) Lịch sử ra đời (ii) Các thành phần, phân
loại, các phương pháp nhận biết của hệ thống IDS. (iii) Các thành phần, phân loại,
mơ hình của hệ thống IPS. (iv) Các phương pháp tấn cơng phổ biến và cách phịng
chống. (v) Một số giải pháp IDS/IPS trên thị trường.
Chương 3. Triển khai hệ thống phát hiện và ngăn chặn xâm nhập cho
hệ thống mạng MobiFone, Chương này trình bày các bước khảo sát, đánh giá
hiện trạng, phân tích yêu cầu và triển khai xây dựng hệ thống IPS thực tế cho mạng
MobiFone cùng những kết quả thử nghiệm cụ thể.
Kết luận và hướng phát triển

3


CHƯƠNG 1. NGUY CƠ MẤT AN TOÀN AN NINH MẠNG

1.1. Tổng quan chung về tình hình an ninh mạng
Hiện nay, với sự phát triển bùng nổ và mạnh mẽ của máy tính và Internet,
chúng ta đã thấy được sự xuất hiện của máy tính ngày càng trở nên phổ biến và có
mặt ở hầu hết các khía cạnh cuộc sống của con người. Thế giới cũng đang chứng
kiến cuộc cách mạng công nghiệp 4.0 với sự phát triển bùng nổ các loại khoa học
kỹ thuật mới, trong đó những yếu tố cốt lõi chính là Trí tuệ nhân tạo (AI), Vạn vật

kết nối - Internet of Things (IoT) và dữ liệu lớn (Big Data). Sự phát triển của công
nghệ giúp cho mọi thiết bị xung quanh chúng ta trở nên thông minh hơn và kết nối
với nhau nhiều hơn, tạo ra một mạng lưới chia sẻ dữ liệu rộng lớn và ngày càng dễ
dàng giữa các cá nhân, doanh nghiệp, tổ chức, các nhà cung cấp dịch vụ ... trong
mọi lĩnh vực từ kinh tế, xã hội, y học, kỹ thuật, quân sự và cả văn hóa. Tuy nhiên,
đi cùng với sự phát triển, chia sẻ thuận tiện này cũng tạo nên ngày càng nhiều hiểm
họa an toàn, an ninh thông tin.
Khi mà mọi hoạt động con người đều được thực hiện qua các kết nối mạng
thì thơng tin giờ đây chính là tài sản quý giá nhất; mang tính quyết định việc thành
bại của mỗi công ty, doanh nghiệp. Những dữ liệu, thông tin này luôn đứng trước
nguy cơ tấn công từ các đối thủ cạnh tranh, hacker, tội phạm mạng… Chính vì
nguồn lợi nhuận khổng lồ thu được từ việc đánh cắp dữ liệu, trong những năm trở
lại đây đã đánh dấu sự bùng nổ và phát triển mạnh mẽ của tội phạm mạng. Theo
báo cáo thống kê của Norton năm vừa qua ước tính có khoảng 556 triệu nạn nhân
bị tấn cơng và tính tính trung bình cứ mỗi 1 giây có 18 nạn nhân bị tấn cơng. Trong
số các nạn nhân bị tấn cơng có tới hai phần ba nạn nhân kết nối internet là mục
tiêu tấn công và 46% mục tiêu bị tấn công trong năm vừa qua là nạn nhân của các
cuộc tấn công như mã độc, virus, hacking, lừa đảo, đánh cắp dữ liệu. Ước tính
nguồn lợi nhuận thu được của tội phạm mạng từ các hành động tấn công, đánh cắp,
lợi dụng dữ liệu trong năm vừa qua đạt 110 tỷ USD.
Lợi ích từ việc đánh cắp dữ liệu đã tạo ra một sự phát triển bùng nổ về số
lượng các cuộc tấn công và quy mô các cuộc tấn công cũng như thay đổi cách thức
hoạt động của tội phạm mạng. Để có thể tối ưu hóa lợi nhuận thu được, tội phạm
4


mạng đã đầu tư hơn cho việc nghiên cứu phát triển các cuộc tấn công về quy mô,
chất lượng và mức độ ảnh hưởng của các cuộc tấn công. Vài năm gần đây đã đánh
dấu sự thay đổi về cách thức hoạt động của tội phạm mạng khi chuyển dịch từ hoạt
động đơn lẻ sang hoạt động có tổ chức. Mỗi chiến dịch tấn công đều được chúng

lên kế hoạch rõ ràng và chuẩn bị kỹ lưỡng. Không những thế tội phạm mạng cịn
đầu tư kinh tế, nguồn lực, trí tuệ cho nghiên cứu, phát triển thêm nhiều kỹ thuật
tấn cơng mới, tinh vi hơn và khó phát hiện hơn.
Đặc biệt, chúng ta đã chứng kiến một bước phát triển đột phá của tội phạm
mạng khi cơng nghiệp hóa ngành mã độc. Những công cụ tấn công, phần mềm mã
độc, lỗ hổng phần mềm được mua bán công khai và tất cả mọi người đều có thể sở
hữu một cơng cụ có khả năng tấn cơng, đánh cắp dữ liệu của tổ chức, doanh nghiệp
một cách dễ dàng. Điều này có nghĩa là an ninh, an tồn thơng tin của tổ chức đang
đứng trước nguy cơ dễ dàng bị vi phạm khi phải đổi mặt với không chỉ là những
tên tội phạm mà cịn là những người có hành vi phá hoại hoặc đơi khi là muốn học
hỏi, tìm tịi thỏa sức tị mị chỉ cần họ có một cơng cụ tấn công. Trực quan dựa vào
“Sơ đồ bối cảnh và sự phát triển các nguy cơ an tồn thơng tin” bên dưới, ta có thể
nhận thấy, từ những năm 1980s đến nay, mức độ nguy hiển của những Script
Kiddies (những kẻ tấn cơng sử dụng các mã độc có sẵn trên mạng mà không cần
kiến thức chuyên sâu về tấn công mạng) ngày càng gia tăng, chứng tỏ rằng nguy
hiểm từ tấn công mạng dựa trên các mã độc “sẵn có” từ những Script Kiddies hiện
tại đang lớn đến mức nào.

Hình 1 Sơ đồ bối cảnh và sự phát triển các nguy cơ an tồn thơng tin

5


Việt Nam đang là quốc gia có tốc độ phát triển về công nghệ thông tin nhanh
nhất tại khu vực Đơng Nam Á, vì vậy cũng là mục tiêu tấn cơng của tội phạm
mạng tồn cầu. Tại Việt Nam, các cuộc tấn công mạng cũng ngày càng gia tăng về
số lượng lẫn mức độ nguy hiểm của cuộc tấn công. Một số vụ tấn cơng lớn có thể
kể đến như vụ tấn công website BKAV tháng 2/2012 khiến website bị deface và
lộ hơn 100.000 địa chỉ email, mật khẩu diễn đàn. Tiếp đến vào tháng 10/2014,
nhiều website lớn của VCCorp như kenh14, Gamek, Genk, CafeF … và một số

website do VCCorp vận hành kỹ thuật như Dân trí, Soha, Người lao động bị tấn
công ngưng hoạt động hoặc chuyển hướng đến một website thông tin tiêu cực. Sự
cố đã gây thiệt hại cho VCCorp hàng chục tỷ đồng. Cũng không thể không kể đến
các cuộc tấn công vào Công ty Vinagame năm 2015 làm lộ thông tin cá nhân hơn
160 triệu tài khoản. Hay như gần đây vụ tấn công Tổng công ty Hàng không Việt
Nam Vietnam Airlines năm 2016 gây ảnh hưởng thông tin cá nhân của 411.000
người dùng, chiếm đoạt hệ thống thông báo sân bay. Thiệt hại của những cuộc tấn
công này không chỉ về tiền bạc mà cịn ảnh hưởng tới uy tín của Việt Nam trên
trường quốc tế. Sự gia tăng của các chiến dịch tấn cơng có chủ đích (APT) của tin
tặc trong những năm gần đây chính là lời cảnh tỉnh rõ nhất cho chúng ta về vấn đề
cấp thiết của việc xây dựng hệ thống giám sát, đảm bảo an tồn thơng tin; phát
hiện và ngăn chặn xâm nhập trái phép trên các hệ thống thông tin quan trọng tại
mỗi tổ chức, doanh nghiệp và các cơ quan nhà nước.
1.2. Các mối đe dọa an ninh mạng
Các cuộc tấn công Cyber Attack thường sẽ nhằm vào một trong những tính chất
sau của hệ thống:
- Tính tồn vẹn: Intergrity.
- Tính bảo mật: Confidentiality.
- Tính khả dụng: Availability.
Trong phần này ta sẽ đi sâu hơn vào phân tích cụ thể những nguy cơ hiện tại tấn
công vào 3 yếu tố trên trong một hệ thống.
1.2.1 Intergrity
Các cuộc tấn cơng về tính tồn vẹn thường là những cuộc tấn cơng nhằm mục đích
phá hoại hệ thống, phá hoại dữ liệu. Mục đích cũng như phương thức của các cuộc
6


tấn công này rất đa dạng và càng ngày càng tinh vi, đòi hỏi hệ thống bảo mật phải
cập nhật thường xuyên trong cuộc chạy đua này. Một số phương thức tấn công phá
hoại thông tin, dữ liệu như sau:

- DoS/DDoS (Denial of Service/Distributed Denial of Service): Là phương thức
tấn công làm cho người dùng không thể sử dụng dịch vụ bằng cách tạo nhiều truy
cập giả cùng truy cập chiếm tài nguyên dịch vụ.
- Ransomware: Là phương thức mã hóa tồn bộ dữ liệu người dùng, bắt người
dùng phải chi trả tiền chuộc để giải mã hóa dữ liệu.
- Virus/Trojan: Là phương thức sử dụng mã độc phá hủy nội dung dữ liệu, có khả
năng lây lan nhanh và phạm vi phá hoại lớn.
1.2.2 Confidentiality
Các cuộc tấn công về tính bảo mật thường là ăn cắp (hoặc đúng hơn là sao chép)
thơng tin trên nhiều phương diện (ví dụ như thông tin cá nhân như tài khoản ngân
hàng, tài khoản ví điện tử, hay thơng tin mật doanh nghiệp).
Một số các phương thức tấn cơng nhằm vào tính bảo mật thông tin như sau:
- Keylog: Là phương thức sử dụng các phần mềm ẩn nhằm thu thập thông tin về
hành vi sử dụng của người dùng. Với việc thu thập hành vi sử dụng, hacker có thể
dễ dàng có được các thông tin tài khoản, mật khẩu của người dùng.
- RAT: Là phương thức sử dụng các phần mềm RAT (như teamview RAT) để
chiếm quyền điều khiển máy tính bất hợp pháp, từ đó có thể khai thác/phá hoại
thơng tin dữ liệu.
- Phishing: Là phương thức sử dụng các đường link giả, hướng người dùng sử dụng
các đường link ấy để cài mã độc (keylog, RAT, virus, …) vào máy của người dùng.
Phishing qua email/chat là một hình thức tấn công khá phổ biến hiện nay, hướng
tới phần đông người dùng thiếu kiến thức cơ bản về bảo mật.
- Malware/Virus: Tương tự với mục đích phá hoại dữ liệu, phương thức sử dụng
mã độc để đánh cắp dữ liệu cũng rất phổ biến.
1.2.3 Availability
Bất cứ hệ thống nào trên thế giới đều có nguy cơ bị tấn cơng. Ngay cả đối với
những tập đồn lớn mạnh, họ có một đội ngũ chuyên nghiệp về bảo mật, nguy cơ
bị tấn công vẫn rất cao. Và thực tế cho thấy, trong quá khứ, hệ thống của họ đã
7



từng bị tấn công. Nếu hệ thống chỉ đầu tư bảo mật ở phần “đánh chặn”, ngăn chặn
các cuộc tấn công, mà không chú trọng đến phần “phục hồi” sẽ luôn luôn rơi vào
trạng thái bị động. Các hệ thống hiện tại ln được chú trọng nhất đến tính khả
dụng, sẵn sàng đáp ứng 24/7/365. Vì vậy, nếu khơng có phương án back-up, chỉ
cần một cuộc tấn công Cyber Attack cũng sẽ gây tê liệt một phần, thậm chí tồn
bộ hệ thống.
1.3 Tổng quan các phương pháp bảo mật trong an ninh mạng
1.3.1 Tường lửa – Firewall

Hình 2 Mơ hình Firewall đơn giản

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống của cá nhân, tổ chức, doanh nghiệp, cơ quan chính
phủ. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network). Firewall là một thiết
bị phần cứng, phần mềm hoặc là cả hai kết hợp với nhau.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trị chính là bảo mật
thơng tin, ngăn chặn sự truy nhập khơng mong muốn từ bên ngồi (Internet) và
cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa
Intranet và Internet, thiết lập cơ chế điều khiển dịng thơng tin giữa Intranet và
mạng Internet, cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.
8


- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong.

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích, cổng (port), giao thức.
- Ghi lại log hoạt động và báo cáo cho người quản trị.
Các thành phần của Firewall: Firewall chuẩn bao gồm một hay nhiều các
thành phần sau đây:
- Bộ lọc packet (packet-filtering router)
- Cổng ứng dụng (application-level gateway hay proxy server)
- Cổng mạch (circuit level gateway)
Nhược điểm của Firewall:
-

Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ: Nếu kẻ
tấn công ở phía trong Firewall thì có thể đánh cắp dữ liệu, phá hỏng phần
cứng, phần mềm, sửa đổi chương trình mà Firewall không thể biết được.

-

Firewall chỉ hoạt động theo những rule mà người quản trị khai báo. Do vậy
Firewall không thể bảo vệ nếu cách tấn cơng hồn tồn mới lạ.

-

Firewall chỉ có thể ngăn chặn các lưu lượng đi qua nó.

-

Firewall khơng thể chống lại Virus: Firewall khơng thể giúp cho máy tính

chống lại được Virus. Mặc dù nhiều Firewall đã quét những luồng thông tin
đi vào nhằm kiểm tra tính hợp lệ của nó với các tập luật đặt ra. Tuy nhiên
Firewall chỉ kiểm tra được địa chỉ nguồn, địa chỉ đích, số hiệu cổng của gói
tin này chứ khơng thể kiểm tra được nội dung của nó. Đó là chưa kể đến có
rất nhiều dạng Virus và nhiều cách để Virus ẩn vào dữ liệu.

9


1.3.2 Cơng nghệ mạng riêng ảo - VPN

Hình 3 Mơ hình mạng VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng cơng cộng (như mạng Internet) với các chính sách quản lý và bảo
mật giống như mạng cục bộ.
-

Site to site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa
các văn phòng cần trao đổi dữ liệu với nhau.

-

Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network
(VPDN), đây là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan
mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ
các địa điểm từ xa.

-


Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa
một số bộ phận cần bảo đảm tính riêng tư, khơng cho phép những bộ phận
khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an
tồn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo
ra một đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối “pointto-point” trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải
được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu là thơng tin về
đường đi cho phép nó có thể đi đến đích thơng qua mạng cơng cộng một cách
nhanh chóng. Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt
10


lại trên đường truyền công cộng cũng không thể đọc được nội dung vì khơng có
khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối
VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel).
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
tồn vẹn (Integrity) và tính bảo mật (Confidentiality).
-

Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với người
mình mong muốn chứ khơng phải là một người khác.

-

Tính tồn vẹn : Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng có
bất kỳ sự xáo trộn nào trong q trình truyền dẫn.

-


Tính bảo mật : Người gửi có thể mã hố các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm
như vậy, khơng một ai có thể truy nhập thơng tin mà khơng được phép và
thậm chí nếu có lấy được thì cũng khơng đọc được.

VPN mang lại lợi ích thực sự và tức thời cho các cơng ty. Có thể dùng VPN khơng
chỉ để đơn giản hố việc thơng tin giữa các nhân viên làm việc ở xa, người dùng
lưu động, mở rộng Intranet đến từng văn phịng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà cịn làm giảm chi phí cho
cơng việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm
chi phí (cost-saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và
một số ưu điểm khác.
1.3.3 Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS
- Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS): Hệ thống phát
hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn.
IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS
không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
- Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System - IPS): Giải pháp ngăn
ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. IPS sẽ làm
giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp
pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
11


CHƯƠNG 2. TỔNG QUAN HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP
2.1. Lịch sử ra đời
Phát hiện xâm nhập là tiến trình theo dõi các hoạt động xảy ra trên một hệ

thống máy tính hay hệ thống mạng, phân tích chúng và xử lý để tìm ra các dấu hiệu
xâm nhập bất hợp pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng
tìm mọi cách để xâm hại đến tính bí mật (confidentiality), tính tồn vẹn (integrity)
và tính sẵn sàng (availability) của thơng tin hay là sự cố gắng vượt qua các cơ chế
bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ
một kẻ tấn công từ bên ngoài nhằm giành quyền truy cập hệ thống, hay cũng có
thể là một người dùng nội bộ bên trong hệ thống muốn chiếm đoạt các quyền khác
mà họ chưa được cấp phát.
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James
Anderson. Khi đó người ta cần IDS (Intrusion Detection System- hệ thống phát
hiện xâm nhập) với mục đích là dị tìm và nghiên cứu các hành vi bất thường và
thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền
để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập
được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng
tại mạng máy tính của khơng lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm
IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các
phịng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu
của công ty ISS. Ngày nay, các hệ thống IDS/IPS ngày càng được quan tâm khi
vấn đề an ninh thông tin ngày càng trở nên cấp thiết, và các công nghệ dùng trong
IDS/IPS vẫn đang không ngừng được phát triển.
Hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng có khả
năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập. Mục
đích của phát hiện xâm nhập là cung cấp sự giám sát, kiểm tra và báo cáo về các
hoạt động của mạng. Nó hoạt động trên các gói tin được cho phép thơng qua một
thiết bị kiểm sốt truy nhập. Một IDS có thể thực hiện các hoạt động mà không
12



làm ảnh hưởng đến các kiến trúc tính tốn và kết nối mạng. IDS là một hệ thống
giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho người quản trị.
Ngoài ra, IDS cũng đảm nhận việc phản ứng lại các lưu thơng bất thường hay có
hại bằng các hành động đã được thiết lập từ trước như khóa người dùng hay hay
địa chỉ IP nguồn đó truy cập hệ thống mạng. IDS cũng có thể phân biệt giữa những
tấn công bên trong từ bên trong (từ những người trong cơng ty) hay tấn cơng từ
bên ngồi (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy
cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt
để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Ngăn
ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm
giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có
hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích
ở đây là một hệ thống hồn hảo – khơng có những báo động giả nào làm giảm năng
suất người dùng cuối và khơng có những từ chối sai nào tạo ra rủi ro quá mức bên
trong môi trường.
Một hệ thống chống xâm nhập (Intrusion Prevention System – IPS) được
định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện
xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất
nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP Intrusion Detection and Prevention.
2.2. Hệ thống IDS
Hệ thống IDS viết tắt của Intrusion Detection System hay còn gọi là hệ
thống phát hiện xâm nhập trái phép là những hệ thống phần cứng hoặc ứng dụng
phần mềm chuyên dụng để phát hiện xâm nhập vào một hệ thống mạng cần bảo
vệ. IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật
truyền thống mà là để hồn thiện nó. Một hệ thống IDS có những đặc tính như sau:
- Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng
(hành động thông thường bị coi là bất thường được gọi là false positive).


13


- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực.
- Tính trọn vẹn (Completeness): IDS khơng được bỏ qua một xâm nhập trái
phép nào (xâm nhập không bị phát hiện được gọi là false negative).
- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn
cơng.
- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng
thái xấu nhất là khơng bỏ sót thơng tin. Yêu cầu này có liên quan đến hệ thống mà
các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với
sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự
tăng trưởng của số lượng sự kiện xảy ra trong mạng.
2.2.1 Các thành phần của hệ thống IDS
Một hệ thống IDS gồm có các thành phần cơ bản như sau:
-

Bộ phát hiện (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có
khả năng đe dọa an ninh của hệ thống mạng, bộ phát hiện có chức năng rà
quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu và
phát hiện ra các dấu hiệu tấn cơng hay cịn gọi là sự kiện.

-

Bộ giao diện (Console): Là bộ phận làm nhiệm vụ giám sát các sự kiện, các
cảnh báo được phát hiện và sinh ra từ các Sensor và điều khiển hoạt động
của các bộ Sensor.

-


Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện
được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ
thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được
cho hệ thống hoặc cho người quản trị.

Như vậy, hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”. Các Sensor
là bộ phận được bộ trí trên hệ thống tại những điểm cần kiểm sốt, Sensor bắt các
gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn cơng, nếu gói tin có dấu
hiệu tấn cơng, Sensor lập tức đánh dấu đấy là một sự kiện và gửi báo cáo kết quả
về cho Engine, Engine ghi nhận tất cả các báo cáo của tất cả các Sensor, lưu các
báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo đối

14


với sự kiện nhận được. Console làm nhiệm vụ giám sát các sự kiện và các cảnh
báo, đồng thời điều khiển hoạt động của các Sensor.
-

Các mẫu (Signatures): Các Sensor hoạt động theo cơ chế “so sánh với mẫu”,
các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so sánh các
xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc
tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có
một xâu trùng với mẫu, Sensor đánh dấu đó là một sự kiện bình thường hay
đã có dấu hiệu của sự tấn cơng từ đó sinh ra cảnh báo. Các tín hiệu nhận
biết các cuộc tấn công được tổng kết và tập hợp thành một bộ gọi là mẫu
hay signatures. Thông thường các mẫu này được hình thành dựa trên kinh
nghiệm phịng chống các cuộc tấn công, người ta thành lập các trung tâm
chuyên nghiên cứu và đưa ra các mẫu này để cung cấp cho hệ thống IDS

trên toàn thế giới.

2.2.2 Các phương pháp phát hiện xâm nhập phổ biến
Các hệ thống IDS sử dụng nhiều phương pháp để phát hiện xâm nhập, có thể sử
dụng riêng rẽ hoặc kết hợp với nhau để đưa ra kết quả chính xác hơn.
2.2.2.1 Nhận biết qua dấu hiệu - Signature Based Detection

Hình 4 Nhận biết qua dấu hiện - Signature Based Detection

Hệ thống IDS phát hiện ra xâm nhập dựa trên dấu hiệu là tiến trình so sánh dấu
hiệu các hoạt động xâm nhập đã được biết trước với các sự kiện giám sát được để
xác định các xâm nhập có thể đang diễn ra. Một số ví dụ như:
-

Telnet vào server bằng user “root”: việc này trái với yêu cầu bảo mật đã ban
hành.
15


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×