Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Tìm hiểu về hệ thống phát hiện tấn công và xâm nhập mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.2 MB, 47 trang )

KHĨA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

KHOA TIN

Đề tài:

Ì

ỂU VỀ Ệ


Ô

V XÂ



Á





: PGS.TSKH. rầ Quốc
t ực
L p

Lê Quốc Dự_09CNTT1




ế

: L Quốc Dự
: 09CNTT1

Trang 0


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

LỜI CẢM ƠN
Trước hết em xin chân thành gửi lời cảm ơn đến thầy Trần Quốc Chiến và quý
thầy cô khoa Tin học, Trường Đại học Sư phạm Đà Nẵng đã tận tình dạy dỗ truyền đạt
kiến thức, kinh nghiệm cho em trong suốt những năm học vừa qua.
Mặc dù đã nỗ lực hết mình để hồn thành tốt đề tài của mình. Nhưng dù sao
những điều sai sót trong q trình hồn thành đề tài là điều không thể tránh khỏi. Vậy
em kính mong các q thầy cơ đánh giá, bổ sung, góp ý để em có thể tiếp thu được
nhiều hơn về kiến thức cũng như kinh nghiệm để có thể vận dụng vào công việc sau
này.
Em xin chân thành cảm ơn!

Tp.Đà nẵng, ngày 15 tháng 5 năm 2013

Lê Quốc Dự_09CNTT1

Trang 1



KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vơ
cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an tồn cho
thơng tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức,
các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi
hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ thống an ninh
mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm sốt luồng thơng tin ra
vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu
phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là
các cuộc tấn công nhằm vào điểm yếu của hệ thống.
.Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết hợp các
ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS. Có khả nǎng
phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công nhằm vào điểm
yếu của hệ thống. IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập
trái phép) là một hệ thống có khả năng phát hiện trước và làm chệch hướng những
cuộc tấn công vào mạng. IPS đáp ứng được yêu cầu là một hệ thống phòng thủ chiến
lược theo chiều sâu, nó hoạt động dựa trên cơ sở thu thập dữ liệu mạng, tiến hành phân
tích, đánh giá, từ đó xác định xem có dấu hiệu của một cuộc tấn công hay không để
đưa ra các cảnh báo cho các nhà quản trị mạng hoặc tự động thực hiện một số thao tắc
nhằm ngăn chặn hoặc chấm dứt tấn công.
Mục tiêu đề tài :
- Giúp mọi người hiểu về những kiến thức cơ bản chung của hệ thống IDS.
- Giúp mọi người tự xây dựng được một hệ thống IDS phù hợp với từng nhu

cầu sử dụng.
- Nghiên cứu, xây dựng sản phẩm IDS có thể ứng dụng vào trong thực tế tại
Việt Nam.
Về mặt lý thuyết:
Đề tài đã nêu rõ sự cần thiết của bảo mật, những hạn chế của các phương pháp
bảo mật hiện tại, đồng thời nói lên sự cần thiết của hệ thống phát hiện xâm nhập trái
phép.
Lê Quốc Dự_09CNTT1

Trang 2


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

Đề tài đã đề cập tương đối kỹ lưỡng đến những vấn đề về lý thuyết của IDS,
bao gồm kiến trúc chung, phân loại và các mơ hình IDS chính. Lý do là vì IDS là một
cơng nghệ đang phát triển và có nhiều hướng tiếp cận, nên khơng có một giải thuật nào
được sử dụng làm chuẩn cho việc phát hiện xâm nhập trái phép, mỗi cơng cụ đều có
những phương pháp riêng.
Với Snort, là phần mềm được chọn để xây dựng sản phẩm, đồ án đã đề cập đến
những đặc trưng của nó với vai trị là một mơ hình IDS. Đề tài cũng nói đến các thành
phần cơ bản và cơ chế hoạt động của Snort, giới thiệu về tập luật của Snort và các
bước cài đặt một hệ thống IDS hoạt động dựa trên phần mềm.
Phạm vi nghiên cứu :
- Các giải pháp đưa ra nhằm hạn chế cho máy chủ web chạy hệ điều hành Linux
Về sản phẩm:
Snort là công cụ phát hiện xâm nhập khá phổ biến và được gọi là light-weight
Instrution Detection System, với một số đặc tính sau:

- Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows…
- Kích thước tương đối nhỏ: phiên bản hiện tại snort-2.9.0.5 có kích thước 5.77
MBytes.
- Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác
nhau như : buffer overflow, CGI-attack, dị tìm hệ điều hành, ICMP, virus,…
- Phát hiện nhanh các xâm nhập theo thời gian thực.
- Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị
xâm nhập.
- Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng.
- Là phần mềm Open Source và không tốn kém chi phí đầu tư.
Chương trình sản phẩm đã giải quyết được những yêu cầu cơ bản của đề tài:
Snort được xây dựng với mục đích thoả mãn các tính năng cơ bản sau: Có hiệu năng
cao, đơn giản và có tính uyển chuyển cao, dễ dàng cập nhập và cài đặt (nguồn mở ), có
thể phát triển tiếp trong tương lai.

Lê Quốc Dự_09CNTT1

Trang 3


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

CHƢƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IPS
1. Lịch sử ra đời
Hệ thống Firewall (tường lửa) cổ điển đã được ứng dụng trong hệ thống mạng
để bảo vệ mạng khỏi các cuộc tấn công hoặc truy nhập trái phép từ rất lâu. Tuy nhiên
trong quá trình hoạt động Firewall đã thể hiện nhiều nhược điểm.
Thứ nhất, hệ thống Firewall là một hệ thống thụ động, Firewall hoạt động trên

cơ sở các tập luật, các luật trên Firewall phải được người quản trị cấu hình hay chỉ
định cho phép hay khơng cho phép gói tin đi qua. Bản thân hệ thống Firewall không
thể nhận biết được các mối nguy hại đến từ mạng mà nó phải được người quản trị
mạng chỉ ra thơng qua việc thiết lập các luật trên đó.
Thứ hai, Hệ thống Firewall hoạt động chủ yếu ở lớp mạng trở xuống, Firewall
ngăn chặn các truy nhập thông qua các trường địa chỉ IP đích và nguồn, các cổng dịch
vụ (TCP/UDP), một số Firewall cịn ngăn chặn ở lớp vật lý thơng qua địa chỉ MAC
Address. Như vậy, các thông tin mà Firewall dùng để ngăn chặn các truy nhập là
ở trong phần tiêu đề của gói tin, Firewall cổ điển khơng thể đọc thơng tin trong phần
tải của gói tin (Pay Load) là nơi chứa nội dung thông tin được truyền đi, nơi tiềm ẩn
các mã nguy hiểm gây hại cho hệ thống.
Thứ ba, do khơng có khả năng đọc nội dung gói tin nên hệ thống Firewall chỉ
có khả năng bảo vệ vịng ngồi của hệ thống, bản thân nó khơng có khả năng chống
các cuộc tấn cơng xuất phát từ bên trong mạng.
Trong bối cảnh đó, IDS ra đời như là một sự bổ sung cho hệ thống Firewall cổ
điển. IDS có khả năng bắt và đọc gói tin, phân tích gói tin để phát hiện ra các nguy
cơ tấn cơng tiềm ẩn trong nội dung của gói tin. Tuy nhiên hoạt động IDS chỉ mang
tính chất cảnh báo và trợ giúp thông tin cho người quản trị mạng, căn cứ trên các
thông tin cảnh báo về bảo mật, người quản trị mạng phải tiến hành ra lệnh cho
Firewall ngăn chặn cuộc tấn công. Như thế bản thân hệ thống IDS vẫn là một hệ thống
thụ động.
Vì vậy người ta phải kết hợp hoạt động của IDS với hệ thống Firewall để tạo ra
một hệ thống an ninh có khả năng phát hiện dấu hiệu các cuộc tấn công và chủ động
ngăn chặn các cuộc tấn cơng đó. Hệ thống như vậy được biết đến với cái tên hệ thống
ngăn chặn truy nhập IPS.
Lê Quốc Dự_09CNTT1

Trang 4



KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

2. Hệ thống IDS
IDS là từ viết tắt tiếng anh của Intrusion Detection System hay còn gọi là hệ
thống phát hiện các truy nhập trái phép. IDS có nhiệm vụ rà quét các gói tin trên
mạng, phát hiện các truy nhập trái phép, các dấu hiệu tấn cơng vào hệ thống từ đó cảnh
báo cho người quản trị hay bộ phận điều khiển biết về nguy cơ xảy ra tấn cống trước
khi nó xảy ra.
2.1 Một hệ thống IDS bao gồm các thành phần
Bộ phát hiện (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả
năng đe dọa an ninh của hệ thống mạng, bộ phát hiện có chức năng rà quét nội dung
của các gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu
tấn cơng hay cịn gọi là sự kiện.
Bộ giao diện (Console): Là bộ phận làm nhiệm vụ giám sát các sự kiện, các
cảnh báo được phát hiện và sinh ra từ các Sensor và điều khiển hoạt động của các bộ
Sensor.
Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được
phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật
để đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ thống hoặc cho
người quản trị.
Như vậy, hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”. Các
Sensor là bộ phận được bố trí trên hệ thống tại những điểm cần kiểm sốt,
Sensor bắt các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn cơng, nếu
gói tin có dấu hiệu tấn công, Sensor lập tức đánh dấu đấy là một sự kiện và gửi báo
cáo kết quả về cho Engine, Engine ghi nhận tất cả các báo cáo của tất cả các Sensor,
lưu các báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo
đối với sự kiện nhận được. Console làm nhiệm vụ giám sát các sự kiện và các
cảnh báo, đồng thời điều khiển hoạt động của các Sensor.

Các mẫu (Signatures): Các Sensor hoạt động theo cơ chế “so sánh với
mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so sánh các xâu
trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc tấn công
hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng
với mẫu, Sensor đánh dấu đó là một sự kiện bình thường hay đã có dấu hiệu của sự
Lê Quốc Dự_09CNTT1

Trang 5


KHĨA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

tấn cơng từ đó sinh ra cảnh báo. Các tín hiệu nhận biết các cuộc tấn công được tổng
kết và tập hợp thành một bộ gọi là mẫu hay signatures.
2.2 Phân loại các hệ thống IDS
2.2.1 Network-based Intrusion Detection System (NIDS)
Network-based Instrusion Detection System (Hệ thống phát hiện truy nhập cho
mạng) là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm tra
các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network Instrusion
Detection Systems truy nhập vào luồng thông tin trên mạng bằng cách kết nối vào các
Hub, Switch được cấu hình Port mirroring hoặc Network để bắt các gói tin, phân tích
nội dung gói tin và từ đó sinh ra các cảnh báo.

Hình 1: Mơ hình mạng sử dụng NIDS

Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensor
được đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng
biên của mạng, các Sensor bắt tất cả các gói tin lưu thơng trên mạng và phân tích nội

dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng.
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ
đó là Protocol-based Intrusion Detection System (PIDS – Hệ thống phát hiện truy cập
dựa trên giao thức) và Application Protocol-based Intrusion Detection System
(APIDS– Hệ thống phát hiện truy nhập dựa trên ứng dụng).
Lê Quốc Dự_09CNTT1

Trang 6


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

2.2.2 Host-based Intrusion Detection System (HIDS)
Trong hệ thống HIDS (Hệ thống phát hiện truy nhập dựa trên máy trạm), các
Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát
tất cả các hoạt động của máy trạm mà nó nằm trên đó của Agent vào cơ sở dữ liệu và
tiến hành phân tích thơng tin để đưa ra các cảnh báo cho người quản trị hoặc hệ
thống.

Hình 2: Mơ hình mạng sử dụng HIDS
3. Hệ thống IPS
IPS là viết tắt tiếng anh của Intrusion Prevention System hay thường được gọi
là hệ thống ngăn chặn truy nhập trái phép.
Hiện nay, hệ thống IDS/IPS đã được triển khai rộng rãi trên tồn thế giới, với
đặc điểm mơ hình triển khai đơn giản, cách thức phát hiện các truy nhập hiệu quả đã
góp phần nâng cao độ tin cậy của hệ thống an ninh.
IPS là hệ thống kết hợp giữa hệ thống IDS và hệ thống Firewall, nó có ba thành
phần chính đó là: Hệ thống Firewall, hệ thống IDS và thành phần trung gian kết

nối hai hệ thống trên lại với nhau.
Firewall: là thành phần bảo vệ hệ thống mạng ở vùng biên, Firewall căn cứ trên
tập luật mà nó được thiết lập từ trước để xác định cho phép hay khơng cho phép các
gói tin được hay khơng được phép đi qua nó.
Lê Quốc Dự_09CNTT1

Trang 7


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

IDS: làm nhiệm vụ rà quét tất cả các gói tin trước khi hoặc sau khi đi vào mạng,
đọc nội dung gói tin, phát hiện ra các dấu hiệu tấn công chứa đựng trong gói tin, nếu
phát hiện có dấu hiệu tấn cơng, nó sinh ra cảnh báo cho hệ thống.
Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận các cảnh báo
và thông tin đưa ra từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên
hệ thống Firewall để cấu hình lại tập luật trên đó nhằm ngăn chặn các cuộc tấn cơng.
Như vậy, hệ thống IPS là một hệ thống chủ động, có khả năng phát hiện và ngăn
ngừa các truy nhập trái phép, có khả năng ngăn chặn các cuộc tấn cơng, các nguy cơ
tiềm ẩn trong nội dung của gói tin.
3.1 Phân loại IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
3.1.1. IPS ngoài luồng
Hệ thống IPS ngồi luồng khơng can thiệp trực tiếp vào luồng dữ liệu. Luồng
dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm sốt
luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với
vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi
ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.

3.1.2. IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới
bức tường lửa. Điểm khác chính so với IPS ngồi luồng là có thêm chức nǎng chặn lưu
thơng. Điều đó làm cho IPS có thể ngǎn chặn luồng giao thơng nguy hiểm nhanh hơn
so với IPS ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thơng tin ra vào
mạng chậm hơn.
3.2 Các thành phần chính
3.2.1 Module phân tích gói (packet analyzer)
Module này có nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card
mạng (NIC) của máy giám sát được đặt ở chế độ “khơng phân biệt” (promiscuous
mode), tất cả các gói tin qua chúng đều được copy lại và chuyển lên lớp trên. Bộ phân
tích gói đọc thơng tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào,
dịch vụ gì… Các thơng tin này được chuyển đến module phát hiện tấn công.

Lê Quốc Dự_09CNTT1

Trang 8


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

3.2.2 Module phát hiện tấn công
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc
tấn cơng. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dị sự lạm
dụng và dị sự khơng bình thường.
Phương pháp dị sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn
công biết trước này gọi là các dấu hiệu tấn cơng. Do vậy phương pháp này cịn được

gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn cơng này có ưu điểm là phát hiện
các cuộc tấn cơng nhanh và chính xác, khơng đưa ra các cảnh báo sai làm giảm khả
nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật
trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là khơng phát
hiện được các cuộc tấn cơng khơng có trong cơ sở dữ liệu, các kiểu tấn công mới, do
vậy hệ thống luôn phải cập nhật các mẫu tấn cơng mới.
Phương pháp dị sự khơng bình thường: Đây là kỹ thuật dị thơng minh, nhận
dạng ra các hành động khơng bình thường của mạng. Quan niệm của phương pháp này
về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu
trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn cơng
sẽ có những hành động khác so với bình thường và phương pháp dị này có thể nhận
dạng. Có một số kỹ thuật giúp thực hiện dị sự khơng bình thường của các cuộc tấn
công như dưới đây:
+ Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động
bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra.
Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến
trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt q mức... thì hệ
thống có dấu hiệu bị tấn cơng.
+ Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu
thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về
cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống
sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của
mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song
với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dị ra có tín hiệu tấn cơng
thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc.
Lê Quốc Dự_09CNTT1

Trang 9



KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

+ Phát hiện sự khơng bình thường của các giao thức: Kỹ thuật này cǎn cứ vào
hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này
rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập
thông tin của các tin tặc.
Phương pháp dị sự khơng bình thường của hệ thống rất hữu hiệu trong việc
phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có
thể phát hiện ra các kiểu tấn cơng mới, cung cấp các thơng tin hữu ích bổ sung cho
phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số
lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là
hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần
cảnh báo sai để hệ thống chạy chuẩn xác hơn.
3.2.3 Modul phản ứng
Khi có dấu hiệu của sự tấn cơng hoặc thâm nhập, modul phát hiện tấn cơng sẽ
gửi tín hiệu báo hiệu có sự tấn cơng hoặc thâm nhập đến modul phản ứng. Lúc đó
modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công
hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các
người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp
ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:
+ Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin
nhằm phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược
điểm. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn
công, dẫn đến tình trạng tấn cơng xong rồi mới bắt đầu can thiệp. Phương pháp này
không hiệu quả với các giao thức hoạt động trên UDP như DNS, ngồi ra các gói tin
can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình

tấn cơng. Nếu tiến trình tấn cơng xảy ra nhanh thì rất khó thực hiện được phương pháp
này.
+ Huỷ bỏ tấn cơng: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn
đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu
phản ứng này là an tồn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp
lệ.
Lê Quốc Dự_09CNTT1

Trang 10


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

+ Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị
cấu hình lại chính sách bảo mật khi cuộc tấn cơng xảy ra. Sự cấu hình lại là tạm thời
thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh
báo tới người quản trị.
+ Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị
để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
+ Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống
các tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và
là nguồn thông tin giúp cho modul phát hiện tấn cơng hoạt động.
3.3 Mơ hình hoạt động
Từ cấu tạo của IPS ta có thể thấy mơ hình hoạt động của một hệ thống IPS bao
gồm 5 giai đoạn chính: Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng.

Giám sát


Phân tích

Liên lạc

Phản ứng

Cảnh báo

Hình 3 : Mơ hình hoạt động của hệ thống IPS.
Giám sát: có nhiệm vụ thu thập các thông tin về lưu thông trên mạng, công việc
sẽ do các Sensor đảm nhiệm. Kết quả của q trình này sẽ là các thơng tin đầy đủ về
trạng thái của tồn mạng. Nhưng nhìn chung chúng ta thường khó có thể thu thập được
một lượng thơng tin tồn diện như vậy vì nó sẽ tiêu tốn rất nhiều tài nguyên do đó
người ta thường thu thập thông tin theo thời gian nghĩa là thu thập liên tục trong một
khoảng thời gian hoặc thu thập theo từng chu kì nhất định.
Phân tích: đây chính là giai đoạn thiết yếu nhất trong một hệ thống IPS. Sau khi
thu thập thông tin hệ thống sẽ tiến hành phân tích tùy theo mơi trường mạng có các
Lê Quốc Dự_09CNTT1

Trang 11


KHĨA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

cách phân tích khác nhau. Nhưng nói chung hệ thống sẽ xem xét trong luồng những
thông tin thu được những dấu hiệu khả nghi để đưa ra cảnh báo. Như đã biết ở trên có
2 cách chính để phát hiện dấu hiệu khả nghi là đối sánh mẫu và phân tích hành vi bất
thường

Liên lạc: giai đoạn này cũng là một giai đoạn quan trọng trong hệ thống, nó đảm
bảo các thành phần trao đổi thông tin được với nhau khi cần thiết như gửi các thông tin
khi phát hiện tấn công cho bộ phận đưa ra cảnh báo hoặc gửi các thông tin về cấu hình.
Cảnh báo: kết thúc quá trình phân tích nếu hệ thống nhận thấy được dấu hiệu tấn
cơng sẽ đưa ra các cảnh báo cho hệ thống. Các cảnh bảo như: một máy cố truy cập
vào một máy không được phép hoặc sử dụng các account như “root” từ ngồi mạng hay
sử dụng các dịch vụ khơng hợp lệ…
Phản ứng: sau khi nhận được các cảnh báo hệ thống IPS sẽ đưa ra các phản ứng
của riêng mình mà không cần đợi quản trị mạng đảm bảo kịp thời ngăn chặn và giảm
thiểu tối đa những tác động do các cuộc tấn công gây ra. Các phản ứng của IPS thường
là:
+ Ngắt kết nối mạng hoặc phiên làm việc của người dùng được sử dụng cho
hành động tấn cơng.
+ Khóa quyền truy cập đến đối tượng đích từ tài khoản người dùng gây tấn cơng,
khóa địa chỉ IP…
+ Khóa tất cả các quyền truy cập vào đối tượng đích, các dịch vụ, các ứng dụng
và các tài nguyên khác.
Các IPS tiên tiến cịn có khả năng thay đổi mơi trường bảo mật như thay đổi cấu
hình sang một loại điều khiển bảo mật khác để ngăn chặn tấn cơng.
Các IPS cũng có thể thay thế nội dung tấn công bằng cách loại bỏ các phần mã
nguy hiểm trong gói tin…
3.4 Đánh giá hệ thống IPS
Để đánh giá chất lượng hệ thống IPS người ta đưa ra các định nghĩa:
False Positive: Hệ thống sinh ra các cảnh báo khi các luồng dữ liệu bình thường đi
qua, khơng có tấn công. Loại cảnh báo này là không thể tránh khỏi nếu quá nhiều sẽ gây
nhiễu.

Lê Quốc Dự_09CNTT1

Trang 12



KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

True Positive: Hệ thống sinh ra các cảnh báo khi các cuộc tấn công thực sự diễn ra.
Càng nhiều cảnh bào này hệ thộng IPS càng được đánh giá cao đây là mục tiêu hàng đầu
để cải tiến hệ thống.
False Negative: có ý nghĩa ngược với False Positive, cảnh báo xảy ra khi hệ thống
không nhận ra được các cuộc tấn công, nguyên nhân có thể do thơng tin về dạng tấn
cơng chưa được biết. Các cảnh bảo này được các hệ thống IPS cố gắng tối thiểu hóa.
True Negative: Các luồng dữ liệu bình thường đi qua và hệ thống khơng sinh cảnh
báo.

Lê Quốc Dự_09CNTT1

Trang 13


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

CHƢƠNG II: CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG
THÔNG DỤNG CỦA HỆ THỐNG IDS
1 Kỹ thuật xử lý dữ liệu
1.1. Hệ thống Expert (Expert systems).
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các hình thức tấn cơng. Tất cả các sự kiện có liên quan đến bảo mật đều được kết

hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else.
1.2. Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection).
Giống như phương pháp hệ thống Expert, Rule-Based Intrusion Detection dựa
trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định
dạng kiểm định thích hợp. Nên dấu hiệu tấn cơng có thể được tìm thấy trong các bản ghi
(record). Một kịch bản tấn cơng có thể được mơ tả, như một chuỗi sự kiện kiểm định đối
với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Sự
phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.
Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống
thương mại.
Ví dụ: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)
1.3. Phân biệt ý định ngƣời dùng (User intention Identification).
User intention identification mơ hình hóa các hành vi thông thường của người
dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên
quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động
được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập
hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự khơng hợp lệ
được phát hiện thì một cảnh báo sẽ được sinh ra.
1.4. Phân tích trạng thái phiên (State-Transition Analysis).
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực
hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay
đáp trả theo các hành động đã được định trước.

Lê Quốc Dự_09CNTT1

Trang 14


KHÓA LUẬN TỐT NGHIỆP


GVHD: PGS.TSKH Trần Quốc Chiến

1.5. Phƣơng pháp phân tích thống kê (Statistical Analysis Approach).
Đây là phương pháp thường được sử dụng. Hành vi người dùng-hệ thống (tập các
thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người
dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng
không gian đĩa, bộ nhớ, CPU... Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng
để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Các phương pháp thống kê
thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người
dùng thông thường.
2. Các kiểu tấn công thông dụng.
2.1. Tấn công từ chối dịch vụ (Denial of Service Attack)
Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến fullblown packet storm, Denial of Service (DoS) attack có mục đích chung là đóng băng hay
chặn đứng tài ngun của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận
và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống
và ứng dụng.
- Network flooding bao gồm SYN flood, Ping flood hay multi echo request…
- Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các
kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ
thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ
thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình
trước.
- Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ
thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web… Ví
dụ: một email rất dài hay một số lượng lớn email, hay một số lượng lớn yêu cầu tới trang
web có thể gây quá tải cho server của các ứng dụng đó.

Lê Quốc Dự_09CNTT1


Trang 15


KHĨA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

Hình 4: Mơ hình DDoS attack
Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin
khơng mong muốn từ bên ngồi, tuy nhiên Network IDS có thể phát hiện được các tấn
cơng dạng gói tin.
2.2. Qt và thăm dò (Scanning and Probe).
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu.
Tuy các công cụ này được thiết kế cho mục đích phân tích để phịng ngừa, nhưng chúng
có thể được sử dụng để gây hại cho hệ thống. Các cơng cụ qt và thăm dị bao gồm
SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon.
Việc thăm dị có thể được thực hiện bằng cáchping đến hệ thống cũng như kiểm tra các
cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Vì vậy các
cơng cụ này có thể là cơng cụ đắc lực cho mục đích xâm nhập.

Hình 5: Thăm dị hệ thống

Lê Quốc Dự_09CNTT1

Trang 16


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến


Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy
hiểm trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp
này để có thể chống các kiểu tấn cơng như vậy trước khi có thiệt hại. Host-based IDS
cũng có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp
dựa trên mạng.
2.3. Tấn cơng vào mật mã (Password attack).
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu dễ nhận
thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhất cho kẻ tấn
cơng có thể truy nhập tới mọi thơng tin tại mọi thành phần trong mạng. Đốn hay bẻ
khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã
để mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn cơng cần truy nhập tới mật mã đã
được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn cơng sử dụng chương trình đốn
nhiều mã với thuật tốn mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ
máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa
(trong từ điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hốn vị. Hiện
nay, Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử
dụng dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt
như tìm lại mật mã, hay tìm kiếm các thơng tin cần thiết cho q trình điều tra tội
phạm…
- Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0),
gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngồi ra khơng thể
khơng kể tới các phương thức tấn cơng vào yếu tố con người như nhìn trộm, dùng vũ lực
ép buộc…
- Dự đốn và bẻ khóa ví dụ như: đốn từ tên, các thơng tin cá nhân, từ các từ
thơng dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài khoản
khách rồi chiếm quyền quản trị; các phương thức tấn công như brute force, đốn mật mã
đã mã hóa từ các từ trong từ điển, ta có một số cơng cụ như LOPHT Crack, pwldump…
Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố
gắng đốn mã (có thể ghi nhận sau một số lần thử khơng thành cơng), nhưng nó khơng

có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay
chạy các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong

Lê Quốc Dự_09CNTT1

Trang 17


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật
mã.
2.4. Chiếm đặc quyền (Privilege-grabbing).
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy
nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều
này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là
“Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên
Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng
để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ
điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền
truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc
quyền:
- Đoán hay bẻ khóa của root hay administrator
- Gây tràn bộ đệm
- Khai thác Windows NT registry
- Truy nhập và khai thác console đặc quyền
- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.
Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay

đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị
chủ. Do Host-based IDS có thể tìm kiếm được những người dùng khơng có đặc quyền
đột nhiên trở thành có đặc quyền mà khơng qua hệ thống thơng thường, Host-based IDS
có thể ngừng hành động này. Ngồi ra hành động chiếm đặc quyền của hệ điều hành và
ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based
IDS nhằm ngăn chặn việc tấn công xảy ra.
2.5. Cài đặt mã nguy hiểm (Hostile code insertion).
Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép
tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:
- Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động
tự động, có hoặc khơng có hại, nhưng ln dẫn đến việc tạo ra bản sao của file hệ thống,
file của ứng dụng hay dữ liệu. Virus thường được xác định nhờ vào những hành động có
hại của chúng, có thể được kích hoạt dựa trên sự kiện, ngày…
Lê Quốc Dự_09CNTT1

Trang 18


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

- Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số
hành động tự động, thường có hại, nhưng khơng có mục đích nhân bản. Thường thì
Trojan Horse được đặt tên hay mơ tả như một chương trình mà người ta muốn sử dụng,
nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống.
- Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương
trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống
trong tương lai (như “msgina.dll” trên Windows NT).

- Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay
ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có vẻ như
thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như
tải file lên web site của kẻ tấn công.
Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và
các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả
nhất để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể
đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết
hợp với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví
dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một
backdoor. Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh
cho mục đích kiểm tra tính tồn vẹn.
2.6. Hành động phá hoại trên máy móc (Cyber vandalism).
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi
động và chương trình hệ điều hành, format ổ đĩa.
Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn
thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như
mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà
trang web nằm trên đó. Khơng chỉ được cấu hình để quản lý mọi thay đổi trên trang web,
Host-based IDS còn có thể thực hiện các hành động đối phó, là những hành động được
Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn
cơng được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều
hành, ứng dụng cũng như xóa file và thay đổi trang web.

Lê Quốc Dự_09CNTT1

Trang 19


KHÓA LUẬN TỐT NGHIỆP


GVHD: PGS.TSKH Trần Quốc Chiến

2.7. Ăn trộm dữ liệu quan trọng (Proprietary data theft).
Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra
ngay trong tổ chức đó, số các cuộc tấn cơng từ bên ngồi đã liên tục tăng trong một vài
năm qua. Ngồi việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải
xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan
trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Giải pháp của IDS: Mơ hình Host-based IDS thực hiện việc quản lý các dữ liệu
quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp
IDS có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi
biên bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp
đó, Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng.
Cịn Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file
quan trọng và xác định việc truyền thơng có chứa key word. Trong một số trường hợp rất
khó có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDS trên host đó
có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc
tuyền thơng.
2.8. Gian lận, lãng phí và lạm dụng (Fraud, waste, abuse).
Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh
tế trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số
credit card, can thiệp vào tài khoản nhà băng, và thao túng chương trình kiểm tra viết
(check writing). Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay
chủ đích) cho các cơng việc đi ngược lại với mục đích của tổ chức.
Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các
URL, tuy nhiên các chương trình chun dụng để ngăn URL có liên hệ với firewall có
thể hoạt động hiệu quả hơn, có thể duy trì một danh sách URL động và chính sách lạm
dụng dựa trên USERID. Host-based IDS có thể thực thi một chính sách do cơng ty đặt
ra, các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thơng qua hostbased IDS cũng như network-based IDS. Bất cứ thay đổi có thể ngay lâp tức được ghi

trong biên bản hệ thống, agent có thể dễ dàng theo dõi các hành động đó.
2.9. Can thiệp vào biên bản (Audit trail tampering).
Như đã nói đến ở trên, hầu hết các thông tin tạo nên từ các hành động của người
dùng được ghi trong các audit trail riêng của hệ thống của doanh nghiệp. Can thiệp vào
Lê Quốc Dự_09CNTT1

Trang 20


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

biên bản là cách được ưa thích để loại bỏ hay che dấu vết. Dưới đây là các phương thức
hacker thường dùng để tấn công vào audit trail và che dấu vết:
- Audit Deletion : xóa biên bản, khi đã vào được hệ thống.
- Deactivation : ngừng tiến trình ghi sự kiện lên audit trail.
- Modification : sửa sự kiện mà nó ghi nhận được trước khi thoát khỏi hệ thống.
- Flooding : tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn công.
Giải pháp của IDS: Host-based IDS agent có thể quản lý việc can thiệp vào biên
bản (xóa, ngừng hay sửa đổi) và thực hiện các hành động phù hợp. Network-based IDS
có thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi.
2.10. Tấn công hạ tầng bảo mật (Security infrastructure attack).
Có nhiều loại tấn cơng can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo
mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay
thay đổi quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm
quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng. Cuộc tấn
công tạo ra thay đổi bằng cách truy nhập trái phép tới chức năng quản trị, tìm console
quản trị khơng được chú ý, hay tác động lên người quản trị để thực hiện hành động nào
đó. Trong các trường hợp đó rất khó có thể phân biệt giữa một hành động tấn công và

một hành động của người quản trị mạng.
Giải pháp của IDS: Các hành động quản trị mạng thường là đăng nhập vào audit
trail trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX.
Host-based IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như
đưa thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi.
Cịn network-based IDS có thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng.
3. Hạn chế của hệ thống.
IDS thường xuyên đưa ra báo động giả (False Positives), là gánh nặng cho quản
trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của
năm). Kèm theo các cảnh báo tấn cơng là một quy trình xử lý an ninh rất vất vả. Khơng
có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên
giây.
Theo những khách hàng đang sử dụng IDS, quản trị và vận hành hệ thống IDS rất
khó khăn, tốn kém và khơng đem lại hiệu quả tương xứng so với đầu tư. Sau khi phát
biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại
Lê Quốc Dự_09CNTT1

Trang 21


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc quản lý và vận hành chứ
không phải do bản chất cơng nghệ kiểm sốt và phân tích gói tin của IDS. Cụ thể, để cho
một hệ thống IDS hoạt động hiệu quả, vai trị của các cơng cụ, con người quản trị là rất
quan trọng, cần phải đáp ứng được các tiêu chí sau:
- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi
các IDS, tường lửa để tránh các báo động giả.

- Các thành phần quản trị phải tự động hoạt động và phân tích.
- Kết hợp với các biện pháp ngăn chặn tự động
Kết quả là tới năm 2005, thế hệ sau của IDS hệ thống tự động phát hiện và ngăn
chặn xâm nhập (IPS) đã dần khắc phục được các mặt còn hạn chế của IDS và hoạt động
hiệu quả hơn nhiều so với thế hệ trước đó.

Lê Quốc Dự_09CNTT1

Trang 22


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

CHƢƠNG III: XÂY DỰNG HỆ THỐNG
1. Đặt vấn đề
Nhờ có khả năng chống lại các kiểu tấn công mới và những cuộc tấn công xuất
phát từ trong hệ thống, hệ thống IDS đã và đang có những đóng góp quan trọng và trở
thành một trong những thành phần không thể thiếu trong các chính sách bảo mật. Nó đã
được nghiên cứu phát triển từ lâu và đã có nhiều sản phẩm được ứng dụng vào việc tăng
cường bảo mật cho hệ thống. Các dự án mã nguồn mở phát triển rất mạnh, điển hình như
Snort và Honeynet được coi như những tiêu chuẩn khơng chính thức về Network-based
IDS và Honeypot. Để xây dựng một sản phẩm IDS ta có thể có một số hướng sau:
- Hướng phát triển thứ nhất là xây dựng một sản phẩm mới dựa trên những đặc
trưng của một mơ hình IDS. Hướng xây dựng sản phẩm này thì sản phẩm có đặc tính dễ
sử dụng và có thể tiếp tục phát triển để tăng tính năng cho chương trình sản phẩm.
- Hướng thứ hai là nghiên cứu, ứng dụng và phát triển các sản phẩm mã nguồn
mở. Đây là hướng phát triển mà sản phẩm có độ phức tạp và hoàn thiện cao. Cũng là
hướng phát triển của đề tài này.

Như ta đã biết điểm khác biệt lớn nhất giữa IDS và các công cụ bảo mật khác là
khả năng học và ngăn chặn các kiểu tấn công mới. Các hệ thống phát hiện xâm nhập trái
phép đều thực hiện cảnh báo khi có cuộc tấn cơng vào hệ thống, cịn phản ứng sau đó thì
tùy vào hệ thống và việc cài đặt của người quản trị, điều này tùy thuộc vào mục đích của
hệ thống, nhằm đảm bảo an toàn cho hệ thống hay để nghiên cứu các kiểu tấn cơng mới.
Cần phải nói thêm rằng việc xâm nhập vào một hệ thống chưa chắc đã nhằm mục đích
lấy trộm dữ liệu hay phá hoại hệ thống (vì có nhiều hệ thống mà dữ liệu khơng có nhiều
giá trị quan trọng), mà có thể nhằm chiếm quyền quản trị hệ thống và sử dụng cho các
cuộc tấn công vào các hệ thống khác.
2. Giới thiệu chung về Snort
Snort được phát triển năm 1998 bởi Sourcefire và CTO Martin Roesch, là 1 phần
mềm miễn phí mã nguồn mở có khả năng phát hiện và phịng chống xâm nhập trái phép
vào hệ thống mạng có khả năng phân tích thời gian thực lưu lượng mạng, và ghi log gói
tin trên nền mạng IP. Ban đầu được gọi công nghệ phát hiện và phòng chống xâm nhập
hạng nhẹ, Snort đã dần phát triển và trở thành tiêu chuẩn trong việc phát hiện và phòng
chống xâm nhập. Với hơn 3,7 triệu lượt tải về và hơn 250 ngàn người dùng đăng ký,
Lê Quốc Dự_09CNTT1

Trang 23


KHÓA LUẬN TỐT NGHIỆP

GVHD: PGS.TSKH Trần Quốc Chiến

Snort trở thành cơng nghệ phát hiện và phịng chống xâm nhập được sử dụng rộng rãi
nhất hiện nay.
Snort có thể thực hiện phân tích giao thức và tìm kiếm nội dung, từ đó có thể phát
hiện rất nhiều kiểu thăm dị và tấn công như buffer-overflow, stealth ports scanning, tấn
công CGI, OS fingerprint, thăm dị SMB..v.v. Để có thể làm được điều này, Snort dùng 1

loại ngôn ngữ mô tả các quy tắc giao thơng mạng mà nó sẽ thu thập hoặc bỏ qua, cũng
như sử dụng cơ chế phát hiện xâm nhập theo kiến trúc modular plug-ins. Nó cũng có khả
năng cảnh báo tức thời, kết hợp với các cơ chế cảnh báo syslog, tập tin người dùng chỉ
định, Unix socket hoặc Winpopup message.
Snort có thể sử dụng với 3 kiểu chính :
- Packet sniffer như tcpdump
- Packet logger
- Hệ thống phát hiện và phịng chống xâm nhập hồn chỉnh.
3. Các thành phần cơ bản của Snort
Snort là công cụ phát hiện xâm nhập khá phổ biến, còn được gọi là light-weight
Instrution Detection System với một số đặc tính sau:
- Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows…
- Kích thước tương đối nhỏ: phiên bản mới nhất 3.0 có kích thước 3.25 MBytes.
- Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác nhau
như : buffer overflow, CGI-attack, dị tìm hệ điều hành, ICMP, virus…
- Phát hiện nhanh các xâm nhập theo thời gian thực.
- Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm
nhập.
- Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng.
- Là phần mềm Open Source và khơng tốn kém chi phí đầu tư.
Snort được xây dựng với mục đích thoả mãn các tính năng cơ bản sau: Có hiệu
năng cao, đơn giản và có tính uyển chuyển cao.

Lê Quốc Dự_09CNTT1

Trang 24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×