Tải bản đầy đủ (.pdf) (46 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Tìm hiểu hệ thống phát hiện xâm nhập ids – triển khai snort trên windows server 2008

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.22 MB, 46 trang )

TRƯỜNG ĐẠI HỌC VINH

005.8

KHOA CÔNG NGHỆ THÔNG TIN
--------------------------

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Tên đồ án:

TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
TRIỂN KHAI SNORT TRÊN WINDOWS SERVER 2008

Sinh viên thực hiện :
Lớp

Lê Phƣơng Nghĩa – 1051070400

: 51K2 - CNTT

Giáo viên hướng dẫn : ThS. Nguyễn Quang Ninh

Nghệ An, tháng 12 năm 2014


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

LỜI CẢM ƠN
Trên thực tế khơng có sự thành cơng nào mà khơng gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ


khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan
tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè.
Với lịng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô ở khoa Công
nghệ thông tin - Trường Đại học Vinh đã cùng với tri thức và tâm huyết của mình để
truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường.
Đặc biệt là các Thầy Cơ trong tổ Kỹ thuật máy tính tạo mọi điều kiện tốt nhất để em có
thể hồn thành tốt Đồ án tốt nghiệp.
Em xin chân thành cảm ơn Th.S Nguyễn Quang Ninh đã tận tâm hướng dẫn, chỉ
bảo. Nếu không có những lời hướng dẫn, dạy bảo của thầy thì em nghĩ Đồ án tốt nghiệp
này rất khó có thể hoàn thiện được. Một lần nữa, em xin chân thành cảm ơn thầy.
Do nhiều yếu tố khách quan lẫn chủ quan nên khơng tránh khỏi những thiếu sót,
em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và các bạn học
để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.
Cuối cùng chúng em xin kính chúc các Thầy Cơ trong Khoa Công nghệ thông tin
và Th.S Nguyễn Quang Ninh thật dồi dào sức khoẻ, niềm tin vui để tiếp tục sứ mệnh cao
đẹp của mình đó là truyền đạt kiến thức cho thế hệ mai sau.
Trân trọng!
Nghệ An, ngày 10 tháng 12 năm 2014
Sinh viên
Lê Phƣơng Nghĩa

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

1


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

MỤC LỤC
Trang

LỜI CẢM ƠN .................................................................................................................... 1
LỜI MỞ ĐẦU .................................................................................................................... 4
1.1.

Giới thiệu về IDS .................................................................................................. 6

1.1.1. Định nghĩa về IDS............................................................................................. 6
1.1.2. Lợi ích của IDS ................................................................................................ 8
1.1.3. Phân biệt những hệ thống không phải là IDS .................................................. 8
1.1.4. Kiến Trúc và nguyên lý hoạt động IDS ........................................................... 9
1.2.

Phân loại IDS ...................................................................................................... 12

1.2.1. Network based IDS - NIDS ........................................................................... 12
1.2.2. Host based IDS - HIDS .................................................................................. 14
1.3.

Cơ chế hoạt động của IDS .................................................................................. 15

1.3.1. Mơ hình phát hiện sự lạm dụng ..................................................................... 16
1.3.2. Mơ hình phát hiện sự bất thường ................................................................... 16
1.3.3. So sánh giữa hai mô hình ............................................................................... 17
1.4.

Cách phát hiện kiểu tấn cơng thơng dụng của IDS............................................. 18

1.4.1. Tấn công từ chối dịch vụ (Denial of Service attack) ..................................... 18
1.4.2. Quét và thăm dò (Scanning và Probe) ........................................................... 18
1.4.3. Tấn công vào mật mã (Password attack) ....................................................... 19

1.4.4. Chiếm đặc quyền (Privilege-grabbing) .......................................................... 19
1.4.5. Cài đặt mã nguy hiểm (Hostile code insertion) ............................................. 20
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism) ................................. 20
1.4.7. Tấn công hạ tầng bảo mật (Security infrastructure attack) ............................ 20
CHƢƠNG II. HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT ............................... 22
2.1.

Giới thiệu về snort .............................................................................................. 22

2.2.

Kiến trúc snort .................................................................................................... 23
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

2


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
2.3.

Thành phần và chức năng của snort ................................................................... 23

2.3.1. Bộ phận giải mã gói (Packet Decoder) .......................................................... 24
2.3.2. Bộ phận xử lý trước (Preprocessor) ............................................................... 24
2.3.3. Bộ phận phát hiện (Detection Engine) ........................................................ 25
2.3.4. Hệ thống ghi và cảnh báo (Logging and Alerting system) ............................ 25
2.3.5. Bộ phận đầu ra (output module) .................................................................... 26
2.4.

Các chế độ làm việc của Snort. ........................................................................... 26


2.4.1. Chế độ “lắng nghe” mạng. ............................................................................ 26
2.4.2. Chế độ Packet logger ..................................................................................... 26
2.4.3. Chế độ phát hiện xâm nhập mạng (NIDS) ..................................................... 27
2.4.4. Inline Mode .................................................................................................... 27
2.5.

Giới thiệu về bộ luật của Snort ........................................................................... 27

2.5.1. Phần header. ................................................................................................... 28
2.5.2. Phần Option .................................................................................................... 29
CHƢƠNG III. CÀI ĐẶT VÀ MÔ PHỎNG SNORT TRÊN WINDOWS SERVER
2008 .................................................................................................................... 31
3.1.

Giới thiệu kịch bản ............................................................................................. 31

3.1.1. Mô tả kịch bản ................................................................................................. 31
3.1.2. Đặt ra giải pháp ............................................................................................... 32
3.1.3. Yêu cầu............................................................................................................ 32
3.2.

Thực hiện ............................................................................................................ 33

3.2.1. Cài đặt và cấu hình .......................................................................................... 33
3.2.2. Download Snort: ............................................................................................. 33
3.2.3. Cài đặt Snort.................................................................................................... 34
3.2.4. Sử dụng Snort:................................................................................................. 37
KẾT LUẬN .................................................................................................................... 454
TÀI LIỆU THAM KHẢO............................................................................................... 45


Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

3


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

LỜI MỞ ĐẦU
I. Lý do chọn đề tài
An ninh thơng tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan
tâm khơng chỉ ở Việt Nam mà trên tồn thế giới. Cùng với sự phát triển nhanh chóng của
mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết
hơn bao giờ hết.
Trong lĩnh vực an ninh mạng, phát hiện và phịng chống tấn cơng xâm nhập cho
các mạng máy tính là một vấn đề cần thiết. Ngồi việc tăng cường chính sách bảo mật
trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng
sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc
truyền nhàm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên em đã
chọn đề tài “Tìm hiểu hệ thống phát hiện xâm nhập IDS – Triển khai Snort trên Windows
Server 2008” để nghiên cứu.
II. Ý nghĩa của đề tài
-

Xây dựng kiến thức liên quan đến hệ thống phát hiện và chống xâm nhập IDS.

-

Xây dựng bản Demo về việc phát hiện xâm nhập bằng Snort.


III. Đối tƣợng và phƣơng pháp nghiên cứu
-

Tìm hiểu về bảo mật.

-

Nghiên cứu những phương pháp xâm nhập hệ thống- biện pháp ngăn ngừa.

-

Nghiên cứu về hệ thống phát hiện xâm nhập IDS.

-

Nghiên cứu công cụ IDS – Snort.

-

Xây dựng hệ thống Snort - IDS trên Windows.

-

Thu thập tài liệu liên quan đến các vấn đề về đề tài.

-

Các khái niệm cơ bản và nguyên lý hoạt động của hệ thống phát hiện xâm nhập.


IV. Các mục tiêu của đề tài
-

Tìm hiểu thơng tin về bảo mật.

-

Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

4


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
-

Tìm hiếu và nghiên cứu các vấn đề liên quan đến chương trình snort.

-

Tìm hiểu và sử dụng tốt hệ điều hành Windows.

-

Tìm hiếu phương pháp và triển khai cài đặt Snort trên Windows.

-

Đưa ra một số nhận định và hướng phát triển đề tài.


V. Bố cục
Nội dung khóa luận tốt nghiệp gồm 3 chương:




Chương I: Hệ thống phát hiện xâm nhập IDS.
-

Tìm hiểu về kiến trúc và nguyên lý hoạt động của IDS.

-

Phân loại IDS, phương thức phát hiện và cơ chế hoạt động IDS.

-

Cách phát hiện kiểu tấn công thông dụng của IDS.

Chương II: Triển khai ứng dụng dị tìm xâm nhập trên hệ thống Window dựa trên

Snort.



-

Kiến trúc Snort.


-

Bộ luật Snort.

Chương III: Cài đặt và Mô phỏng.
-

Cài đặt Snort lên hệ điều hành Windows Server 2008.
Mơ phỏng tình huống để thử nghiệm công cụ Snort.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

5


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

CHƢƠNG I. HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
1.1. Giới thiệu về IDS
Cách đây khá lâu, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của
James Anderson. Khi đó người ta cần IDS với mục đích là dị tìm và nghiên cứu các hành
vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm
nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại
mạng máy tính của khơng lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn
chưa được phổ biến, một số hệ thống IDS bắt đầu phát triển dựa trên sự bùng nổ của
công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại
lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng
của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được

sử dụng nhiều nhất và vẫn còn phát triển.
1.1.1. Định nghĩa về IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu
thông mạng, và cảnh báo các hoạt động khả nghi cho nhà quản trị.
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách
hợp lí để nhận ra những mối nguy hại có thê tấn cơng. Chúng phát hiện những hoạt động
xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động xâm nhập bằng
việc kiểm tra sự đi lại của mạng, những host log, những system call, và những khu vực
khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa những tấn công từ bên trong (những người trong
công ty) hay tấn cơng từ bên ngồi (từ các Hacker). IDS phát hiện dựa trên các dấu hiệu
đặc biệt về nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc
biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

6


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
- Tính chính xác (Accuracy): IDS khơng được coi những hành động thông

thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng
(hành động thông thường bị coi là bất thường được gọi là false positive).
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập

trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái

phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống).
- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái

phép nào (xâm nhập không bị phát hiện gọi là false negative). Đây là một điều
kiện khó có thể thỏa mãn được vì gần như khơng thể có tất cả thơng tin về các
tấn công từ quá khứ, hiên tại và tương lai.
Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại tấn
công.
-

- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái

xấu nhất là khơng bỏ sót thơng tin. u cầu này có liên quan đến hệ thống mà
các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ.
Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải
bởi sự tăng trưởng của số lượng sự kiện.

Hình 1.1. Các vị trí đặt IDS trong mạng
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

7


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.1.2. Lợi ích của IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết
trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh bảo sai do định nghĩa quá chung về
cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo
sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài
hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới

hạn các cảnh báo nhầm.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó
đem lại là rất lớn. Một mặt nó giúp hệ thống an tồn trước những nguy cơ tấn cơng, mặt
khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn dựa trên
những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần
loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
1.1.3. Phân biệt những hệ thống không phải là IDS
Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây khơng phải là
IDS:
- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn

công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra
lưu lượng mạng.
- Các công cụ đánh giá lỗ hỗng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dich vụ

mạng (các bộ quét bảo mật).
- Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy

hiếm như virus, trojan horse, worm,...Mặc dù những tính năng mặc định có thể
giống IDS và thường cung cấp một cơng cụ phát hiện lỗ hổng bảo mật hiệu quả.
- Tường lửa - firewall
- Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,...

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

8


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.1.4.


Kiến Trúc và nguyên lý hoạt động IDS

1.1.4.1. Thành phần của IDS

Hình 1.2. Thành phần của IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập
gói tin (Information Collection), thành phần phân tích gói tin (Dectection), thành
phần phản hồi (Respontion) nếu gói tin đó được phát hiện là một tấn cơng của tin tặc.
Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành
phần này bộ cảm biến đóng vai trị quyết định nên chúng ta sẽ đi vào phân tích bộ cảm
biến đế hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.
Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính
sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các
gói mạng.
Vai trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được
các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho
mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn công, profile hành vi thông
thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các
tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng
có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra
từ nhiều hành động khác nhau).
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

9



ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.1.4.2. Nguyên lý hoạt động

Hình 1.3. Hoạt động của IDS
Q trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng

(Intrustion Montorring).
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết

hành động nào là tấn công (Intruction detection).
- Xuất thông tin cảnh báo (response): Hành động cảnh báo cho sự tấn cơng

được phân tích ở trên nhờ bộ phận (thông báo - Notification).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các
quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên
hoặc có thế là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng
khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống,
cơ sở hạ tầng hợp lệ,...) - theo các chính sách bảo mật của các tố chức. Một IDS là một
thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình
tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương
lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

10


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Phát hiện xâm nhập đôi khi có thế đưa ra các cảnh báo sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký
thông qua mail.
1.1.4.3. Chức năng của IDS
Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi
cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập
trừ khi những đặc tính của hệ thống phát hiện xâm nhập và hữu ích cho họ, bổ sung
những điếm yếu của hệ thống khác...IDS có được chấp nhận là một thành phần thêm vào
cho hệ thống an tồn khơng vẫn là câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài
liệu giới thiệu về những chức năng mà IDS đã làm được và đây là vài lý do đưa ra tại sao
chon IDS:
- Bảo vệ tính tồn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu

trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
- Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi.
- Bảo vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy

nhập thông tin của người dùng hợp pháp.
- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên

của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp.
Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi
phục, sửa chữa...
-

Nói tóm lại có thể tóm tắt IDS như sau:

 Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ.
-


Giám sát: lưu lượng mạng và các hoạt động khả nghi.

-

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có
những hành động thiết thực để chống lại kẻ xâm nhập và phá hoại.
-

 Chức năng mở rộng:
-

Phân biệt: tấn công bên trong và tấn cơng từ bên ngồi.
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

11


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
-

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ

vào sự so sánh thông lượng mạng hiện tại với baseline.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên.
Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như
cách bố trí bảo vệ phịng thủ của các nhà quản trị mạng.
1.2. Phân loại IDS

Cách thông thường nhất để phân loại các hệ thống IDS là dựa vào đặc điểm của
nguồn dữ liệu thu thập được. Trong trường hợp này, các hệ thống IDS được chia thành
các loại sau:
Network-based IDS (NIDS): Sử dụng dữ liệu trên tồn bộ lưu thơng mạng,
cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập.
-

Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để
phát hiện xâm nhập.
-

1.2.1. Network based IDS - NIDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên tồn
mạng. Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với
những mơ tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu
nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng
hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu
hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor
được đặt ở tồn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được
định nghĩa để phát hiện đó là tấn cơng hay khơng.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngồi để giám sát
tồn bộ lưu lượng vào ra. Có thế là một thiết bị phần cứng riêng biệt được thiết lập sẵn
hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.
Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức
cao

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

12



ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Hình 1.4. Mơ hình Network based IDS - NIDS
Ưu điểm
-

Quản lý được cả một network segment (gồm nhiều host).

-

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.

-

Tránh DOS ảnh hưởng tới một host nào đó.

-

Có khả năng xác định lỗi ở tầng Network (trong mơ hình OSI).

-

Đơc lập với os (Operating System)

Nhược điểm
-

Có thể xảy ra trường hợp báo động giả.


-

Khơng thể phân tích các traffìc đã được encrypt (vd: SSL, SSH, IPSec...)..

-

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an tồn Có
độ trễ giữa thời điểm bị attack với thời điếm phát báo động. Khi báo động được
phát ra, hệ thống có thể đã bị tổn hại.

-

Khơng cho biết việc attack có thành cơng hay không.

-

Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận
tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích
chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy.
Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp
đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dị được lắp
thêm vào đế bảo đảm truyền thông và bảo mật tốt nhất.
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

13


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ
thống IDS dựa trên mạng là phân mảnh những gói thơng tin của họ. Mỗi giao

thức có một kích cờ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn
kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là
quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tụ' của việc sắp xếp lại không
thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện
tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho
đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ
liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động
xâm nhập nếu bộ cảm biến khơng thế sắp xếp lại những gói thơng tin một cách
chính xác.
1.2.2. Host based IDS - HIDS
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy
chủ quan sát tất cả những hoạt động hệ thống, như các fíle log và những lưu lượng mạng
thu thập được.
Hệ thống dựa trên máy chủ cũng theo dõi os, những cuộc gọi hệ thống, lịch sử sổ
sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu
dò của mạng có thế phát hiện một cuộc tấn cơng, thì chỉ có hệ thống dựa trên máy chủ
mới có thể xác định xem cuộc tấn cơng có thành cơng hay khơng.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS
thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay
đối trên hệ thống, bao gồm:
-

Các tiến trình.

-

Các Entry của Registry

-


Mức độ sử dụng CPU.

-

Kiếm tra tính tồn vẹn và truy cập trên hệ thống fìle.

-

Một vài thơng số khác.

-

Các thơng số này khi vượt qua một ngưỡng định trước hoặc những thay
đổi khả nghi trên hệ thống fíle sẽ gây ra báo động
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

14


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Hình 1.5. Mơ hình Host based IDS - HIDS
Ưu điểm
-

Có khả năng xác đinh user liên quan tới một event.

-


HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.

-

Có thể phân tích các dữ liệu mã hố.

-

Cung cấp các thơng tin về host trong lúc cuộc tấn công diễn ra trên host này.

Nhƣợc điểm
-

Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.

-

HIDS phải được thiết lập trên từng host cần giám sát.

-

HIDS khơng có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat...).

-

HIDS cần tài ngun trên host để hoạt động.

-


HIDS có thể khơng hiệu quả khi bị DOS.

1.3. Cơ chế hoạt động của IDS
Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:
-

Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện
các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật
xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm
dễ bị tấn công của hệ thống.
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

15


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
-

Phát hiện sự bất thƣờng (Anomaly Detection Model): Hệ thống sẽ phát
hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thơng
thường của người dùng hay hệ thống.

1.3.1. Mơ hình phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào
hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mơ tả đặc điếm các
cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như
một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ
ràng. Mầu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu),...
dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ.

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ
thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được
tiến hành. Hệ thống này có thế xem xét hành động hiện tại của hệ thống được bảo vệ
trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành.
Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để mơ
tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một lượng lớn tập luật
được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng khơng được tạo thành từng
nhóm một cách hợp lý trong một kịch bản xâm nhập.
Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch
bản xen kẽ, bao gồm các tổ chức luật dựa trên mơ hình và các biểu diễn về phép biến đổi
trạng thái. Điều này sẽ mang tính hiệu quả hon đối với người dùng hệ thống cần đến sự
biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải thường xuyên duy trì và cập
nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện.
1.3.2. Mô hình phát hiện sự bất thƣờng
Dựa trên việc định nghĩa và mơ tả đặc điểm của các hành vi có thể chấp nhận của
hệ thống để phân biệt chúng với các hành vi khơng mong muốn hoặc bất thường, tìm ra
các thay đổi, các hành vi bất hợp pháp.
Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và
dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa
hành vi hợp lệ và hành vi bất thường thì khó xác định hơn.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

16


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.3.3. So sánh giữa hai mơ hình
Bảng 1.1. So sánh 2 mơ hình phát hiện
Phát hiện sự lạm dụng


Phát hiện sự bất thƣờng

(Misuse Detection Model)

(Anomaly Detection Model)

Bao gồm:

Bao gồm:

- Cơ sở dữ liệu các dấu hiệu tấn công.

-

Cơ sở dữ liệu các hành động thông
- Tìm kiếm các hành động tương ứng thường.

với các kĩ thuật xâm nhập biết đến (dựa
- Tìm kiếm độ lệch của hành động
trên dấu hiệu - signatures).
thực tế so với hành động thông thường.
Hiệu quả trong việc phát hi.ện các

Hiệu quả trong việc phát hiện các

dạng tấn công hay các biến thế của các dạng tấn công mới mà một hệ thống
dạng tấn công đã biết. Không phát hiện phát hiện sự lạm dụng bỏ qua
được các dạng tấn công mới.
Dễ cấu hình hơn do địi hỏi ít hơn về

thu thập dữ liệu, phân tích và cập nhật.

Đưa ra kết luận dựa vào phép so
khớp mẫu (pattern matching).

Khó cấu hình hơn vì đưa ra nhiều dữ
liệu hơn, phải có được một khái niệm
toàn diện về hành vi đã biết hay hành vi
được mong đợi của hệ thống
Đưa ra kêt quả dựa vào độ lệch giữa
thông tin thực tế và ngưỡng cho phép.

Có thể kích hoạt một thơng điệp
Có thể hỗ trợ việc tự sinh thông tin
cảnh báo nhờ một dấu hiệu chắc chắn, hệ thống một cách tự động nhưng cần
hoặc cung cấp dữ liệu hỗ trợ cho các có thời gian và dữ liệu thu thập được
dấu hiệu khác.
phải rõ ràng.

Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả hai
phương pháp trên trong cùng một hệ thống. Hệ thống kết hợp này sẽ cung cấp khả năng
phát hiện nhiều loại tấn công hơn và hiệu quả hơn.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

17


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.4. Cách phát hiện kiểu tấn công thông dụng của IDS

1.4.1. Tấn công từ chối dịch vụ (Denial of Service attack)
Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài
nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận và không thể
trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng.
-

Phá hoại Network: kiểu tấn công SYN flood là một dạng tấn công từ chối dịch
vụ, kẻ tấn cơng sẽ gửi các gói tin kết nối SYN đến hệ thống...

-

Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop.. các kiểu tấn
công nhằm lợi dụng lỗ hống trên hệ điều hành nhằm phá hoại, gây quá tải hệ
thống. Sự kiện này có thể xáy ra bằng cách gửi gói tin có định dạng khác thường
tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các cơng cụ tấn cơng được
lập trình trước.

-

Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữ liệu,
email, trang web,... Ví dụ như một email rất dài hay một số lượng email lớn có
thể gây quá tải cho server của các ứng dụng đó.

Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin
khơng mong muốn từ bên ngồi, tuy nhiên Network IDS có thể phát hiện được các tấn
cơng dạng gói tin.
1.4.2. Quét và thăm dò (Scanning và Probe)
Bộ quét và thăm dị tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu.
Tuy các công cụ này được thiết kế cho mục đích phân tích để phịng ngừa, nhưng hacker
có thể được sử dụng để gây hại cho hệ thống. Các cơng cụ qt và thăm dị như: SATAN,

ISS Internet Scanner.... Việc thăm dị có thể được thực hiện bằng cách ping đến hệ thống
cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được
biết đến. Vì vậy các cơng cụ này có thể là cơng cụ đắc lực cho mục đích xâm nhập.
Giải Pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiếm
trước khi chúng xảy ra. Host-based IDS cũng có thế có tác dụng đối với kiểu tấn công
này, nhưng không hiệu quả bằng giải pháp dựa trên mạng.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

18


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
1.4.3. Tấn công vào mật mã (Password attack)
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack.
-

Kiếu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn cơng
có thể truy nhập tới mọi thơng tin tại mọi thành phần trong mạng.
Ví du về trộm mật mã: như nghe trộm mật mã gửi trên mạng, gửi thư, chương
trình có kèm keylogger, trojan cho người quản trị.
Đốn hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng

-

cách thử nhiều mật mã đế mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn công
cần truy nhập tới mật mã đã được mã hóa, hay fìle chứa mật mã đã mã hóa, kẻ
tấn cơng sử dụng chương trình đốn nhiều mã với thuật tốn mã hóa có thể sử
dụng được để xác định mã đúng. Với tốc độ máy tính hiện nay, việc bẻ khóa là
rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điến), bất cứ mã

nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hốn vị.
Ví du đốn và bẻ khóa như: đốn từ tên, các thông tin cá nhân, từ các từ thơng
dụng (có thể dùng khi biết usemame mà khơng biết mật mã), sử dụng tài khoản
khách rồi chiếm quyền quản trị; các phương thức tấn cơng như brute íịrce, đốn
mật mã đã mã hóa từ các từ trong tị điển...
 Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố
gắng đốn mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó
khơng có hiệu quả trong việc phát hiện truy nhập trái phép tới fíle đã bị mã hóa.
Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán
mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã.
1.4.4. Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy
nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều
này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là
“Supervisor”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:
-

Đoán hay bẻ khóa của root hay administrator

-

Khai thác Windows NT registry

-

Truy nhập và khai thác console đặc quyền

-

Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

19


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
 Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay
đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ.
1.4.5. Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép
tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiếm sau:
-

Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động
tự động, có hoặc khơng có hại, nhưng ln dẫn đến việc tạo ra bản sao của file
hệ thống, file của ứng dụng hay dữ liệu.

-

Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số
hành động tự động, thường có hại, nhưng khơng có mục đích nhân bản. Thường
thì Trojan Horse được đặt tên hay mơ tả như một chương trình mà người ta
muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến
hỏng file hay hệ thống.

Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các
đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để
giảm mức độ nguy hiểm.
1.4.6. Hành động phá hoại trên máy móc (Cyber vandalism)

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá block
khởi động và chương trình hệ điều hành, format ổ đĩa.
Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn
thận có thể xác định được tất cả các vấn đề liên quan đến Cyber vandalism. Networkbased IDS thì có thế sử dụng dấu hiệu tấn cơng được định nghĩa trước để phát hiện chính
xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi
trang web.
1.4.7. Tấn cơng hạ tầng bảo mật (Security infrastructure attack)
Có nhiều loại tấn cơng can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo
mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay
đổi quyền của fìle. Tấn cơng vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy
nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng.
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

20


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Giải pháp của IDS: Host-based IDS có thế bắt giữ các cuộc đăng nhập mà thực
hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và firewall bị
thay đổi một cách đáng nghi.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

21


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

CHƢƠNG II. HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT
2.1. Giới thiệu về snort

Khái niệm
Snort được phát triển năm 1998 bởi Sourcefire và CTMO Martin Roeschm là một
phần mềm miễn phí. Ban đầu được gọi Cơng nghệ phát hiện và phòng chống xâm nhập
hạng nhẹ, song Snort dần phát triển và được triển khai rộng rãi trên toàn thế giới. Mặc dù
phương pháp phát hiện xâm nhập này vẫn còn mới nhưng Snort được đánh giá là hệ
thống tốt nhất hiện nay
Snort là một ứng dụng bảo mật hiện đại có ba chức năng chính: Nó có thể phục
vụ như là một bộ phận lắng nghe gói tin, lưu lại thơng tin gói tin hoặc một hệ thống phát
hiện xâm nhập mạng (NIDS). Bên cạnh đó có rất nhiều Add-on cho Snort để quản lý (ghi
log, quản lý, tạo rules…). Tuy các thành phần này không phải là phần lõi của Snort
nhưng nó lại một đóng vai trò quan trọng trong việc sử dụng cũng như khai thác các tính
năng của Snort..
Đặc tính
 Nó hỗ trợ cho nhiều nhiều nền tảng hệ điều hành khác nhau như: Linux,
OpenBSD, Solaris, Window…
 Có khả năng phát hiện một số lượng lớn các kiểu thăn dò, xâm nhập khác nhau
như: buffer oveflow, CGI-Atack, Scan, ICMP, Virus…
 Phát hiện nhanh các xâm nhập theo thời gian thực.
 Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm
nhập.
 Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng.
 Là phần mềm Open source và khơng tốn kém chi phí đầu tư.
Snort được xây dựng với mục đích thỏa mãn các tính năng cơ bản sau: Có hiệu
năng cao hơn, đơn giản và có tính uyển chuyển cao.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

22



ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
2.2. Kiến trúc snort
Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau
để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi.
Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:
Bộ phận giải mã gói (Packet Decoder).
Bộ phận tiền xử lí (Preprocessor).
Bộ phận phát hiện (Dectection Engine).
Hệ thống ghi và cảnh báo (Logging và Alerting System).
Bộ phận đầu ra (Output Modules).
Kiến trúc của Snort được mô tả trong hình sau:

Hình 2.1. Mơ hình kiến trúc hệ thống Snort
2.3. Thành phần và chức năng của snort

Hình 2.2. Thành phần hệ thống của Snort
Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

23


ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
2.3.1. Bộ phận giải mã gói (Packet Decoder)
Bộ phận giải mã gói lấy các gói từ các giao diện mạng khác nhau và chuẩn bị
cho việc gói tin được xử lí trước hoặc được gửi cho bộ phận phát hiện.
2.3.2. Bộ phận xử lý trước (Preprocessor)

Hình 2.3. Bộ xử lý trước
Bộ phận xử lí trước là những thành phần được sử dụng với Snort để sắp xếp hoặc
chỉnh sửa gói dữ liệu trước khi bộ phận phát hiện làm một vài xử lý để tìm ra gói tin có

được sử dụng bởi kẻ xâm nhập hay không. Một vài bộ phận xử lý trước cũng thực thi
việc phát hiện bằng cách tìm các dấu hiệu bất thường trong header của gói tin và tạo ra
các cảnh báo. Bộ phận xử lí trước là rất quan trọng trong bất kì IDS nào, chúng chuẩn bị
cho các gói dữ liệu được phân tích dựa trên các luật trong bộ phận phát hiện. Kẻ tấn công
sử dụng nhiều kĩ thuật khác nhau để lừa IDS theo nhiều cách. Bộ phận xử lí trước cũng
được sử dụng để tái hợp các gói tin. Trên IDS, trước khi áp dụng bất kì luật nào, bạn phải
tái hợp các gói tin lại để tìm ra các dấu hiệu. Bộ phận xử lí trước trong Snort có thể tái
hợp các gói tin, giải mã HTTP URI, ráp lại các dòng TCP, v.v... Những chức năng này rất
quan trọng trong hệ thống phát hiện xâm nhập.

Lê Phương Nghĩa – Lớp 51K2 – Khoa CNTT

24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×