P. 1
HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

|Views: 2,618|Likes:
Được xuất bản bởinvnhut88

More info:

Published by: nvnhut88 on Mar 25, 2011
Bản quyền:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

08/21/2013

pdf

text

original

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.

HCM KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN NGÀNH

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

GVHD: Lư Huệ Thu SVTH: Ngô Chánh Tính-107102245 Huỳnh Hoàng Tuấn-107102235

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

TPHCM, Tháng 11 Năm 2010 MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
I.

Những mối đe dọa về bảo mật 1. Mối đe dọa không có Cấu Trúc (Untructured threat) 2. Mối đe dọa có Cấu Trúc (Structured threat) 3. Mối đe dọa từ Bên Ngoài (External threat) 4. Mối đe dọa từ Bên Trong (Internal threat)

II. Khái niệm về bảo mật 1. Khái Niệm 2. Kiến Trúc Về Bảo Mật III. Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống A. Các Phương Pháp Xâm Nhập Hệ Thống 1. Phương thức ăn cắp thống tin bằng Packet Sniffers
2.

Phương thức tấn công mật khẩu Password attack

3. Phương thức tấn công bằng Mail Relay 4. Phương thức tấn công hệ thống DNS 5. Phương thức tấn công Man-in-the-middle attack 6. Phương thức tấn công để thăm dò mạng 7. Phương thức tấn công Trust exploitation 8. Phương thức tấn công Port redirection 9. Phương thức tấn công Port redirection 10. B. Phương thức tấn Virus và Trojan Horse

Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập 1. Phương thức ăn cắp thống tin bằng Packet Sniffers 2. Phương thức tấn công mật khẩu Password attack

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 2

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

3. Phương thức tấn công bằng Mail Relay 4. Phương thức tấn công hệ thống DNS 5. Phương thức tấn công Man-in-the-middle attack 6. Phương thức tấn công để thăm dò mạng 7. Phương thức tấn công Trust exploitation 8. Phương thức tấn công Port redirection 9. Phương thức tấn công Port redirection
10. Phương

thức tấn Virus và Trojan Horse

IV. Sự Cần Thiết Của IDS
1.

Sự giới hạn của các biện pháp đối phó

2. Những cố gắng trong việc hạn chế xâm nhập trái phép CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDS

I. Tổng Quan Về IDS A. Giới Thiệu Về IDS 1. 2. 3. Khái niệm “Phát hiện xâm nhập” IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) Phân biệt những hệ thống không phải là IDS

B. Lợi Ích Của IDS: 1. IDS (Intrusion Detection System) 2. IPS (Phát hiện và ngăn chặn xâm nhập) 2.1. Nguyên lý hoạt động của hệ thống 2.2. Các kiểu hệ thống IPS C. Chức Năng của IDS D. Phân Loại
1.

Network-Based IDSs.

2. Lợi thế của Network-Based IDSs. 3. Hạn chế của Network-Based IDSs. 4. Host Based IDS (HIDS).
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 3

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

5. Lợi Thế của HIDS. 6. Hạn chế của HIDS. 7. DIDS. E. Kiến Trúc Của IDS. 1. Các nhiệm vụ thực hiện. 2. Kiến trúc của hệ thống phát hiện xâm nhập IDS. II. Phương Thức Thực Hiện.
1.

Misuse – based system

2. Anomaly – based system III. Phân loại các dấu hiệu 1. 2. 3. 4. 1. 2. 3. 4. 5. 6. 7. 8. 9. Phát hiện dấu hiệu không bình thường Các mẫu hành vi thông thường- phát hiện bất thường Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Tương quan các mẫu tham số

CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS Denial of Service attack (Tấn công từ chối dịch vụ) Scanning và Probe (Quét và thăm dò) Password attack (Tấn công vào mật mã) Privilege-grabbing (Chiếm đặc quyền) Hostile code insertion (Cài đặt mã nguy hiểm) Cyber vandalism (Hành động phá hoại trên máy móc) Proprietary data theft (Ăn trộm dữ liệu quan trọng) Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng) Audit trail tampering (Can thiệp vào biên bản) 10. CHƯƠNG III
I.

Security infrastructure attack (Tấn công hạ tầng bảo mật) THỰC NGHIỆM

Giới thiệu về Snort IDS

1. 2. 3.

Giới Thiệu Các thành phần của Snort Tập luật (rulesets) trong Snort II. Triển Khai IDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 4

nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội. những vụ lừa đảo. Việc học tập.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 1. dùng sai xuất phát từ trong hệ Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 5 . ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy. các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất. các vụ lạm dụng. dùng sai xuất phát từ trong hệ thống mà những phương pháp bảo mật truyền thống không chống được. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân. vui chơi giải trí. mã hóa làm tăng độ an toàn cho việc truyền dữ liệu. Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng. Thực hiện CHƯƠNG IV I. liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người. Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật. tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm.Kết luận II. Những điều đó dẫn đến yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống.Hướng phát triển KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Mô hình 2. Cho đến nay. kinh doanh.

mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. vẫn chưa được ứng dụng vào trong thực tế.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT 1. Từ những vấn đề nêu trên. tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại. Hầu hết các cuộc tấn công đó vì sở thích cá nhân. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu. tốn thời gian đào tạo để sử dụng. Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. vì thế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. nhiều công sức để quản lý bảo dưỡng. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty. không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay. Mối đe dọa không có cấu trúc ( Untructured threat) Công cụ hack và script có rất nhiều trên Internet. Nó đã được nghiên cứu. yêu cầu nhiều trang thiết bị. không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 6 . Những trường hợp đó có ảnh hưởng xấu đến hệ thống và hình ảnh của công ty. cũng có thể do nó là những hệ thống lớn. Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp. phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp. I.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu của hệ thống. cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống. chỉ vì ai đó có ý định thử nghiệm khả năng. Động cơ của các cuộc tấn công này thì có rất nhiều. Cho dù động cơ là gì. như để lấy được mã nguồn của đối thủ cạnh tranh. và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 7 . các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. 4. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. hoạt động chính trị. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. họ hiểu. có động cơ và kỹ thuật cao. 2. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. Một số yếu tố thường thấy có thể vì tiền. Không như Script Kiddes. thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Mối đe dọa từ bên trong ( Internal threat ) Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. phát triển và sử dụng các kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Các cuộc tấn công này thường có mục đích từ trước. Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm. Các tổ chức tội phạm. 3. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng. Bằng cách gia tăng hệ thống bảo vệ vành đai. Hay trường hợp khác. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ. tức giận hay báo thù.

như là Internet. Khi hiểu sâu các khái niệm về bảo mật.  Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu truy cập server để quy định cho sự bảo mật bên trong. muốn “quay mặt” lại với công ty. mọi chuyện còn lại thường là rất đơn giản. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình. phân tích chính xác các cuộc tấn công. Trong trường hợp đó. kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 8 . Khái Niệm Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Khi vành đai của mạng được bảo mật.KHÁI NIỆM VỀ BẢO MẬT 1. Kiến Trúc Về Bảo Mật Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống:  Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. bảo vệ mạng bên trong khỏi các kết nối bên ngoài. II. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống.  Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng. 2. kẻ tấn công trở thành structured internal threat. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.

) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username. bao gồm tạm thời và lâu dài. Tuy nhiên.Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống. III..  Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. phá hoại hệ thống email khác. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute-force attack. sửa đổi. password.Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay. Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. xóa và xem lại thông điệp đã được truyền.o. 3. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Sự thay đổi bao gồm tạo. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng . chương trình Trojan Horse. và packet sniffer.. FTP. và từ đó có thể truy xuất vào các thành phần khác của mạng.Các phương pháp xâm nhập hệ thống và phòng chống A.Các phương pháp xâm nhập hệ thống: 1. IP spoofing. 2. POP3.S vào một mục tiêu nào đó.. như hacker lại thường sử dụng brute-force để lấy user account hơn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D. cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 9 . do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet. SMTP. ghi.

Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. một host ở outside có thể truy nhập được một host trên DMZ. Host ở DMZ có thể vào được host ở inside. một firewall có 3 inerface. Điều này có thể thực hiện bởi các công cụ như DNS queries.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 4.Phương thức tấn công Man-in-the-middle attack Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng.Phương thức tấn công Port redirection Tấn công này là một loại của tấn công trust exploitation. nhưng không thể vào được host ở inside. hay port scan. 6. có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. 5. cũng như outside.Phương thức tấn công hệ thống DNS DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Ví dụ. họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside.Phương thức tấn công Trust exploitation Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng. Khi bên ngoài hệ thống bị xâm hại. khi một hacker cố gắng chọc thủng một mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 10 . Tấn công dạng này được thực hiện nhờ một packet sniffer. Nếu hacker chọc thủng được host trên DMZ. các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall.Phương thức tấn công để thăm dò mạng Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. 7. ping sweep. thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. lợi dụng một host đã đã bị đột nhập đi qua firewall. 8. Một ví dụ về tấn công này là một người làm việc tại ISP.

Phương thức ăn cắp thống tin bằng Packet Sniffers Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ. được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers. thường là 60 giây. Ta có thể cấm packet sniffer bằng một số cách như sau:  Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. thì nó lại tiếp tục làm như vậy. Trong khi người dùng đang mãi mê chơi game. Trojan horse thì hoạt động khác hơn. các kết nối RAS hoặc phát sinh trong WAN.Phương thức tấn Virus và Trojan Horse Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 11 . hay FTP. Các phương pháp phát hiện và ngăn ngừa xâm nhập: 1.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 9. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80. HTTP.Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. gởi đến tất cả các địa chỉ mail có trong address book của user đó. Khi user khác nhận và chơi trò chơi. 10. B. Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Virus là một phần mềm có hại. mail server bằng TCP port 25. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. thông tin đó cũng không có giá trị vì nó đã hết hạn. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail.

5. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet. Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng. rtelnet… ứng dung SSL. Telnet.SSH vào quản lý từ xa 3.  Sử dụng gateway SMTP riêng 4. 2. đặt password cho SMTP. nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. serever từ xa thông qua các giao thức không an toàn như FTP.Phương thức tấn công hệ thống DNS Phương pháp hạn chế:  Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS  Cài đặt hệ thống IDS Host cho hệ thống DNS  Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. Khi đó. rlogin.Phương thức tấn công Man-in-the-middle attack Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 12 . hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Phương thức tấn công mật khẩu Password attack Phương pháp giảm thiểu tấn công password:  Giới han số lần login sai  Đặt password dài  Cấm truy cập vào các thiết bị.Phương thức tấn công bằng Mail Relay Phương pháp giảm thiểu :  Giới hạn dung lương Mail box  Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server.  Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng. Cisco dùng giao thức IPSec để mã hoá dữ liệu.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng. Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó.  Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa.

nhưng lại khó cho ta khi mạng có sự cố. Signature của một tấn công là một profile về loại tấn công đó. có 2 loại IDS: • HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng. Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công. nó sẽ phát cảnh báo. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.Phương thức tấn công Port redirection Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.Phương thức tấn công lớp ứng dụng Một số phương cách để hạn chế tấn công lớp ứng dụng:  Lưu lại log file.Phương thức tấn công Trust exploitation Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng. 6.Phương thức tấn công để thăm dò mạng Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó. khi đó có thể chăn được ping sweep. Ví dụ ta có thể tắt đi ICMP echo và echo-reply. Khi IDS phát hiện thấy traffic giống như một signature nào đó.Phương thức tấn Virus và Trojan Horse Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 13 . 7. 8. 10. 9. nó có thể phát cảnh báo. cần phải chẩn đoan lỗi do đâu. • NISD: xem xét tất cả các packet trên mạng (collision domain). hay cắt session đó. Các IDS phát hiện các tấn công bằng cách dùng các signature. và thường xuên phân tích log file  Luôn cập nhật các patch cho OS và các ứng dụng  Dùng IDS.

Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Sự giới hạn của các biện pháp đối phó Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao. điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới. Firewall bảo vệ hệ thống Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai.  Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống. và không thể chống lại sự đe dọa từ trong hệ thống. Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. SỰ CẦN THIẾT CỦA IDS 1 .  Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường. IV .  Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống. Các công cụ đó vẫn đang hoạt động có hiệu quả.  Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall. Nhóm mã hóa với việc xác thực khóa công khai Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 14 . Tuy nhiên Firewall cũng có những điểm yếu sau:  Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống.  Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet. việc này có thể cho phép việc thăm dò điểm yếu. Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống.

PKI cho phép ứng dụng ngăn cản các hành động có hại. Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên. Việc truyền thông sẽ trở nên mở. Những cố gắng trong việc hạn chế xâm nhập trái phép Trong những năm 80. kể cả những hành động của người dùng. Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng. Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có dấu hiệu lạm dụng. 2. các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu và khóa mật cung cấp cho người dùng. dùng sai hay có ý đồ xấu”. một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 15 . khi nền thương nghiệp và truyền thông dựa trên mạng quy mô lớn vẫn còn trong thời kỳ đầu. không được bảo vệ và quản lý. sự tin cậy và toàn vẹn dữ liệu. người gửi và người nhận sự từ chối. tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành.  Có quá ít ứng dụng có sử dụng chứng chỉ. PKI có vai trò như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:  Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng chỉ không đồng nhất. Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin.

cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu ta an toàn với sự dùng sai. và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật. ứng dụng. hệ điều hành. quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn. Các công cụ này có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”. và firewall. hầu hết các hệ điều hành. thao tác trái ngược với chính sách chung. các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và duy trì đủ hiệu suất. chúng cung cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện đọc audit trail và tạo ra khuôn mẫu những hành động thông thường. Trong khi đó trong thực tế. cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng. những hệ thống. network traffic monitor. hầu hết các công ty không thể sử dụng được phương pháp phân tích log này vì hai lý do chính. Nửa cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới để quản lý. ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra. Do đó. câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta an toàn với sự dùng sai. như router. Vào năm 1987. có nhiệm vụ tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn. cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự kiện có trong audit trail. Ngày nay. sức người có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn. hệ thống Clyde Digital phát triển một sản phẩm là AUDIT. Ví dụ như vào năm 1984. Với sự tăng trưởng của số người dùng. và làm sao để theo dõi và phản ứng khi ta bị tấn công?” Scanner. cấu hình ứng dụng. Tuy hệ phương pháp IDS đã phát triển trong suốt 20 năm. Thứ nhất là công cụ đó khá nặng. Tuy nhiên. Trong suốt những năm đầu của thập kỷ 90. các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảo mật trước khi bị tấn công. phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu của người dùng. sau đó gửi thông báo về những hành động lệch so với khuôn mẫu đó. Chúng có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 16 . Tư tưởng cơ bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi. Chúng có thể làm được điều đó dựa trên việc tìm khiếm khuyết.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 17 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu công ty như phiên bản của phần mềm. Hơn nữa. độ dài mật mã. Cũng như các công cụ kiểm tra biên bản.… Tuy nhiên. scanner và các công cụ thăm dò. Nó có thể được sử dụng để xác định hiệu quả thực tế của bảo mật và dự đoán hiện tại cũng như tương lai. hầu hết các scanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ công. server hay ứng dụng mới vào mạng. đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt động của con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức. nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành. Một lợi ích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệch trong bảo mật và biểu đồ thông tin. Ta có một chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó”.

hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. một năm sau đó. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng. phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.Tổng quan về IDS A. hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập. các khái niệm IDS vẫn chưa được phổ biến. Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển 1. một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Khái niệm “Phát hiện xâm nhập” Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống. Như đã đề cập ở trên. Tuy nhiên trong thời gian này. tính sẵn sàng.  Network IDS hoặc NIDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 18 . Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu CHƯƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS I . Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS. Hiện tại. phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Giới thiệu về IDS Cách đây khoảng 25 năm. Cho đến tận năm 1996. một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson.

nó sẽ thông báo cho người quản trị bảo mật bằng alert. header của tầng giao vận (TCP. IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập. Những hệ thống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống để phát hiện những hành động xâm nhập. Cũng tương tự như các sensor trong các tài liệu Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 19 . Tốc độ lưu lại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text. những thông tin mà IDS thu được sẽ lưu lại trong file.  False Alarm Là những thông báo đúng về một dấu giống dấu hiệu xâm nhập nhưng hành động . khi đăng nhập hoặc bằng mail và bằng nhiều cách khác. Khi IDS phát hiện ra kẻ xâm nhập.  Sensor Là những thiết bị mà hệ thống phát hiện xâm nhập chạy trên nó bởi vì nó được sử dụng như các giác quan trên mạng.  Log o Thông thường.  Alert Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảo mật có thể xem lại. Signature có thể có mặt trong các phần khác nhau của một gói dữ liệu. Các nhà cung cấp IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra.  Host IDS hoặc HIDS Được cài đặt như là một tác nhân trên máy chủ. UDP header) hoặc header tầng ứng dụng. Alert có thể hiện ngay trên màn hình. Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân. Thông thường.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Là các hệ thống phát hiện tấn công.  Signature Là những phần mà ta có thể thấy được trong một gói dữ liệu. nó có thể bắt giữ các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín hiệu. Nó được sử dụng để phát hiện ra một hoặc nhiều kiểu tấn công. Ví dụ ta có thể tìm thấy các tín hiệu trong header IP.

Ta có thể hình dung qua hình vẽ sau: 2.IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). áp xuất.IDS cũng đảm nhận việc phản ứng lại các lưu thông bất thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng. các hoạt động khả nghi và cảnh báo cho hệ thống..Ngoài ra. IDS (Intrusion Detection System.hệ thống phát hiện xâm nhập) là một hệ thống giám sát lưu thông mạng. nhà quản trị. Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi điểm kết nối với Internet. IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 20 . nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có một router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hay firewall). external hoặc cả 2). . thì sensor ở đây sẽ bắt các tín hiệu có dấu hiệu của xâm nhập bất hợp pháp. nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu kỹ thuật khác. màu sắc. Ví dụ. Ta có thể đặt ở một hoặc nhiều nơi.. Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. sensor dùng để bắt tín hiệu âm thanh.

Với sự phát triển nhanh và mạnh của mạng máy tính. 2000] là dưới 1 phút)... trojan horse. Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:  Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive). hiện tại và tương lai.  Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ . Phân biệt những hệ thống không phải là IDS Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát hiện xâm nhập. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành.  Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào (xâm nhập không bị phát hiện được gọi là false negative). IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. không phải mọi thứ đều được qui vào mục này. hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện. các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó.Mặc dù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. worm. mà để hoàn thiện nó.theo [Ranum. 3.  Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin. Theo một cách riêng biệt nào đó. • Tường lửa – firewall Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 21 . dịch vụ mạng (các bộ quét bảo mật). Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ..  Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công. Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng. • Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus. Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ.

Tuy nhiên.Sự khác nhau giữa IDS và IPS 1. VPN. Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng. hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.. hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. trong đó có rất nhiều cảnh báo là từ những hành động bình thường. B. các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. IDS (Intrusion Detection System ) Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính. Với “quyền tối thượng”. đột nhập vào các hệ thống máy tính. vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.. mật mã như: SSL. Từ đó. phân tích để phát hiện ra các vấn đề liên quan đến an ninh.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu • Các hệ thống bảo mật. bảo mật.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. hầu hết các cảnh báo là cảnh báo sai. mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. chỉ có một vài hành động là có ý đồ xấu. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 22 . mạng ngày càng tăng. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công. lợi ích mà nó đem lại là rất lớn. hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức. Kerberos. C. Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn. Thống kê cho thấy trong hệ thống này. Khi mà số vụ tấn công. Lợi ích của IDS: Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước.

Tuy nhiên. phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu. dịch vụ gì.. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh. ngăn chặn thành công và chính sách quản lý mềm dẻo. chính xác. do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới. IPS (phát hiện và ngăn chặn xâm nhập ) 2.1 Nguyên ý hoạt động của hệ thống IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công đó. • Modul phát hiện tấn công: Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Các thông tin này được chuyển đến modul phát hiện tấn công..2. xử lý. đủ khả năng bảo vệ tất cả các thiết bị trong mạng. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác. phân tích được toàn bộ thông lượng. cảm biến tối đa. không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. các kiểu tấn công mới. Phần lớn hệ thống IPS được đặt ở vành đai mạng. Có hai phương pháp để phát hiện các cuộc tấn công. • Module phân tích luồng dữ liệu: Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Ban đầu. Tất cả các gói tin qua chúng đều được sao chụp. xác định chúng thuộc kiểu gói tin nào. đưa ra các thông báo hợp lý. modul phản ứng. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. chúng lưu trữ các Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 23 . Bộ phân tích đọc thông tin từng trường trong gói tin. Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 2. phân tích đến từng trường thông tin. tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. xâm nhập là dò sự lạm dụng và dò sự không bình thường. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu. modul phát hiện tấn công. nhận dạng ra các hành động không bình thường của mạng. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công.1.

Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. thì hệ thống có dấu hiệu bị tấn công. Khi bắt đầu thiết lập. . Sau thời gian khởi tạo. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định. tiến hành theo dõi. tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. quét cổng để thu thập thông tin của các tin tặc. tấn công. hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. hệ thống sẽ chạy ở chế độ làm việc.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu mô tả sơ lược về các hoạt động bình thường của hệ thống. cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng.Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây: .Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. số lượng một loại gói tin được gửi vượt quá mức.. . Các ức ngưỡng về các hoạt động bình thường được đặt ra.. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn. các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ. khắc phục các nhược điểm còn gặp. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 24 . giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới. các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập. modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ.) • Modul phản ứng Khi có dấu hiệu của sự tấn công hoặc thâm nhập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. số lượng các tiến trình hoạt động trên CPU. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng.

a) IPS ngoài luồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. .Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị.Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ. các đặc điểm và thông tin về chúng. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn cônghoạtđộng. Với vị trí này. b)IPS trong luồng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 25 . Tuy nhiên phương pháp này có một số nhược điểm. nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu tới người quản trị. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công. IPS có thể kiểm soát luồng dữ liệu vào.Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. tấn công. .Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. . ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. phân tích và phát hiện các dấu hiệu của sự xâm nhập. Dưới đây là một số kỹ thuật ngǎn chặn: . 2. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng. Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS.Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn. một phiên làm việc hoặc một luồng thông tin tấn công. IPS có thể quản lý bức tường lửa. dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp.2 Các kiểu hệ thống IPS Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng. Tại modul này.

C . • Cung cấp thông tin về sự xâm nhập.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Vị trí IPS nằm trước bức tường lửa. bảo đảm sự nhất quán của dữ liệu trong hệ thống. đưa ra những chính sách đối phó. tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: • Bảo vệ tính toàn vẹn (integrity) của dữ liệu. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông. Bảo vệ tính khả dụng. tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa. • Bảo vệ tính bí mật. giữ cho thông tin không bị lộ ra ngoài. ngăn chặn được sự truy nhập thông tin bất hợp pháp. Tuy nhiên. vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn. nhiệm vụ đã được phân cấp. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 26 .Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng. khôi phục.  Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ. • Bảo vệ tính riêng tư. sửa chữa… Nói tóm lại ta có thể tóm tắt IDS như sau: Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ  Giám sát: lưu lượng mạng và các hoạt động khả nghi.  Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài. Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:  Ngăn chặn sự gia tăng của những tấn công  Bổ sung những điểm yếu mà các hệ thống khác chưa làm được  Đánh giá chất lượng của việc thiết kế hệ thống Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên.  Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng. Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau: Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.  Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. D.  Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công. nghĩa là đã có sự xâm nhập. Phân loại: Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Khi hai yếu tố này xuất hiện sự khác biệt.Network Base IDS (NIDS) Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 27 . 1. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.  Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.  Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công.

Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực.Độc lập với OS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 28 . NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không."Trong suốt" với người sử dụng lẫn kẻ tấn công . không ảnh hưởng tới mạng . . Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu.Quản lý được cả một network segment (gồm nhiều host) .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.Cài đặt và bảo trì đơn giản. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tránh DOS ảnh hưởng tới một host nào đó. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) . Lợi thế của Network-Based IDSs: . Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. 2. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính.

Hạn chế của Network-Based IDSs: . Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. . bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Khi báo động được phát ra.Host Based IDS (HIDS) Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 29 . IPSec…) . hệ thống có thể đã bị tổn hại. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy.Không thể phân tích các traffic đã được encrypt (vd: SSL. thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. 4. nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh.NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn .Có thể xảy ra trường hợp báo động giả (false positive). sắp xếp lại những lưu lượng đó cũng như phân tích chúng.Không cho biết việc attack có thành công hay không. tức không có intrusion mà NIDS báo là có intrusion. SSH.Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng.Một trong những hạn chế là giới hạn băng thông. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 3. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. . Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn. Nếu có hiện tượng phân mảnh chồng chéo. Khi mà mạng phát triển.

lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. nhưng với một kẻ xâm nhập có hiểu biết. IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi. Không phải tất cả các cuộc tấn công được thực hiện qua mạng. thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. HIDS thường được cài đặt trên một máy tính nhất đinh. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. Hệ thống dựa trên máy chủ cũng theo dõi OS. Thay vì giám sát hoạt động của một network segment. như các file log và những lưu lượng mạng thu thập được. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Thêm nữa là. hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host).ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công. kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. những cuộc gọi hệ thống. HIDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 30 . hay thực hiện từ cổng điều khiển (console). HIDS chỉ giám sát các hoạt động trên một máy tính.

Lợi thế của HIDS:  Có khả năng xác đinh user liên quan tới một event.  HIDS phải được thiết lập trên từng host cần giám sát . chúng không thể phát hiện những tấn công thăm Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 31 .  HIDS cần tài nguyên trên host để hoạt động.  HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.  Mức độ sử dụng CPU.  Đa số chạy trên hệ điều hành Window.Hạn chế của HIDS:  Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.  Các entry của Registry. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thường được đặt trên các host xung yếu của tổ chức. 5.  Một vài thông số khác.  Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. đồng thời HIDS cũng bị "hạ".  Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên.  HIDS có thể không hiệu quả khi bị DOS.  Có thể phân tích các dữ liệu mã hoá. trên UNIX và những hệ điều hành khác.  Khi OS bị "hạ" do tấn công. Tuy nhiên cũng đã có 1 số chạy được Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản. bảo trì phần mềm. bao gồm (not all):  Các tiến trình.  HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap. Netcat…). Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được. NIDS không có khả năng này. 6.

Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. DIDS có khả năng xử lý tập trung. Do đó trước khi chọn một hệ thống IDS. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. Trong một môi trường hỗn tạp. chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. Dshield là một phần của trung tâm ISC (Internet Storm Center) của viện SANS. Mỗi sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server để xử lý. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 32 . giúp cho người quản trị có khả năng theo dõi toàn bộ hệ thống. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ.DIDS DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. 7. điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau.

nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ. điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công. mạng tốc độ cao trên 100Mbps. Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng. Hơn nữa. khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch. nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của network-based IDS và trên môi trường chuyển mạch. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý. Do đó. trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm. Network-based IDS không có tác động tới mạng hay host. và ở mạng có mã hóa. Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 33 . Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood. nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Về khả năng thực thi chính sách bảo mật của nhà quản trị. hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân tích dữ liệu trong thời gian thực. một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành. cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch. Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và anomaly-based. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation. nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Như đã nói trên. hệ thống đó sẽ được tập trung vào HIDS.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng. Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn. Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 34 . Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây. chiếm hết tài nguyên protocol stack và không thể phục vụ được). Giả sử một hacker muốn xâm nhập vào hệ thống. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND. Một ví dụ sử dụng kết hợp NIDS và HIDS. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó.

prevention Simulation Intrustion Monitoring Analysis Intruction detection Notification Respose Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 35 . E. cảm biến tối đa. Một hệ thống IDS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu tin credit card thông qua ứng dụng cơ sở dữ liệu. đưa ra các thông báo hợp lý. ngǎn chặn thành công và chính sách quản lý mềm dẻo. phân tích được toàn bộ thông lượng. Kiến trúc của IDS Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau: 1. chính xác. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Việc kết hợp host-based và networkbased IDS có thể phát hiện được tất cả các kiểu tấn công trên. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa.

Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu IDS Tasks Monitoring Notification Protected system Response Additional IDS Infas tructure Sessions Khi một hành động xâm nhập được phát hiện. cơ sở hạ tầng hợp lệ.1b). Kiến trúc của hệ thống phát hiện xâm nhập IDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 36 . backup hệ thống. ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail.…) – theo các chính sách bảo mật của các tổ chức (Hình 2. định tuyến các kết nối đến bẫy hệ thống. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.3. IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Giữa các nhiệm vụ IDS khác nhau. Một IDS là một thành phần nằm trong chính sách bảo mật. việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. 2.

Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 37 . Điều này cũng liên quan một chút nào đó đến các gói mạng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection). mạng. Trong trường hợp nào đó. ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Bộ tạo sự kiện (hệ điều hành. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện. thành phần phân tích gói tin(Dectection).

Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host). Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Ngoài ra còn có các thành phần: dấu hiệu tấn công. tất cả chúng truyền thông với nhau. các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó. Thêm vào đó. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ. các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó. nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Một phần trong các tác nhân. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). vì vậy có thể phát hiện được các hành động nghi ngờ. cơ sở dữ liệu giữ các tham số cấu hình. profile hành vi thông thường. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. gồm có các chế độ truyền thông với module đáp trả. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. điều đó có nghĩa là chúng có thể tương Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 38 . đặc biệt được trang bị sự phát hiện các tấn công phân tán.

và nếu thấy có sự giống nhau thì tạo ra cảnh báo. kiểm tra báo cáo. II. +Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát. đó là knowledge-based và signature-based. vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp. báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện. Ngoài ra còn có 1 số điểm chú ý sau: .PHƯƠNG THỨC PHÁT HIỆN 1. . kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra.Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát . Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu quan với thông tin phân tán. kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm. Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Misuse – based system Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công. đáp trả. phát hiện. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu. phân tích. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 39 .Kiến trúc.

cho phản hồi chính xác về cảnh báo.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. nên kích cỡ của nó sẽ trở nên rất lớn. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. sự kiện được so sánh với các mục trong file dấu hiệu. nhưng càng khó phát hiện những biến thể của nó. và thường yêu cầu ít tài nguyên tính toán. là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.  Dấu hiệu càng cụ thể. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển. chúng có sự khác biệt cơ bản về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập trái phép). Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai. Trong quá trình xử lý. Tuy nhiên mô hình này có điểm yếu. Ví dụ quen thuộc về signature-based là Snort. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 40 . thì càng tạo ra ít cảnh báo nhầm. trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. khó hiểu. gây khó khăn trong việc phân tích. EMERALD và nhiều sản phẩm thương mại khác. nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh báo. Tuy nhiên. chúng có những điểm yếu sau:  Mô tả về cuộc tấn công thường ở mức độ thấp.  Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu. Match ? Audit Data Knowledge Base Attack Knowledge – based IDS Tiếp theo là hệ signature-based.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 41 . hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng cảnh báo lớn. vì hệ này chỉ xử lý từng hành động một và không lưu chúng lại. hệ stateless cũng có nhiều giới hạn. Phương pháp tiếp cận này đã đơn giản hóa việc thiết kế hệ thống. khi việc xử lý sự kiện hiện tại đã hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. nó cho thấy lợi thế rõ rệt. hệ thống này dễ bị tấn công bằng kiểu tấn công trạng thái. Tuy nhiên. tác động của các sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. Trước tiên là nó không có khả năng phát hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau. Tuy nhiên. Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Stateless IDS coi các sự kiện là độc lập với nhau. gây nên “alert storm” làm tê liệt IDS và che dấu ý đồ tấn công thực. Điều này ngược với lợi thế chính của hệ misuse–based IDS. vì nó không cần phải lưu trữ và bảo quản thông tin về các hành động trước đây. làm giảm hiệu năng của hệ thống. thì có thể tạo ra số lượng lớn các cảnh báo nhầm. không cần phải xử lý thêm gì nữa. đặc biệt là A–box. Hơn nữa. Vì thế. Trong khi kiểu tiếp cận này làm tăng độ phức tạp cho hệ thống. Hệ stateless thường có hiệu năng cao đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó với cơ sở dữ liệu. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra chuỗi các sự kiện được mô tả là có ý đồ xấu. vì hành động đó có thể là một hành động thông thường. Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước. đặc biệt là A–box. phải nằm trong chuỗi các hành động khác mới có khả năng xâm nhập. hơn nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một kiểu tấn công sẽ khó khăn hơn. Còn nếu ta đưa dấu hiệu về các hành động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi. khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái (state transition). Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc. Mô hình chuyển đổi trạng thái này có khả năng diễn tả rất tốt các dạng tấn công. kể cả việc mô tả bằng đồ họa. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an toàn ban đầu sang trạng thái có hại cuối cùng. Hơn nữa. điều này hiệu quả hơn là chỉ phát hiện ra cuộc tấn công. Trong thực tế. IDS sẽ tìm kiếm sự biến đổi đó. Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo. 2. do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho). các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình chuyển đổi trạng thái. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 42 . thông qua các trạng thái trung gian. Kỹ thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. vì thế hệ này thuộc dạng stateful. nó cho phép triển khai phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng. Anomaly – based system Anomaly–based system dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu. trong đó state là trạng thái tạm thời của hệ thống. vì toàn bộ chuỗi hành động gây cảnh báo có thể được cung cấp. thể hiện giá trị vùng nhớ của hệ.

đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công. một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện. 2.Phân loại các dấu hiệu 1. vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó. Mặc dù vậy. vì sự không bình thường là đặc tính của môi trường. Cuối cùng. Tuy nhiên. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 43 . sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó. Vì thế ta có những nghiên cứu về các hệ anomaly – based IDS chuyên sâu và có thể ứng dụng được vào việc phát hiện xâm nhập trái phép trong hệ IDS. Hơn nữa. trong đó có rất nhiều cảnh báo là từ những hành động bình thường. Thống kê cho thấy trong hệ thống này. hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). IDS phải lợi dụng phương pháp phát hiện dị thường.phát hiện bất thường Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ thống. Để phân loại các hành động. Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi.Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời.… một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản. chỉ có một vài hành động là có ý đồ xấu.Các mẫu hành vi thông thường. hầu hết các cảnh báo là cảnh báo sai. III.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Statistically Anomalous ? Audit Data System Profile Attack Anomaly-based IDS Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công chưa biết trước.

mọi thứ không hợp với profile được lưu sẽ được coi như là một hoạt động nghi ngờ. Do đó. Để hợp lý với các profile sự kiện. một nhiệm vụ khó khăn và tốn thời gian. còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống. Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều. tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về một số vấn đề. nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường. Các hành vi người dùng có thể thay đổi theo thời gian. Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào tạo. do đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông thường.Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao). 3.Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực). các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách. hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. Các dấu hiệu hành vi xấu được chia thành hai loại: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 44 . các hệ thống này được đặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là mới có trong hệ thống). Cho một tập các profile hành vi thông thường. khả năng phát hiện sự lạm dụng quyền của người dùng. Do đó.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể. Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn công mới khi có sự xâm nhập. tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không hợp lý. thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này. Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu). Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học” trên chính nó. Ngoài ra.

ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập. Do đó.  Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các lỗ hổng bảo mật.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật. IDS phải được bổ sung nhiều giao thức lớp ứng dụng.  Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ. UDP hoặc ICMP. Với kiểm tra đơn giản về tập các cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ. TCP. Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. Để phát hiện có hiệu quả các tấn công như vậy. đó là một quá trình tốn kém thời gian. Điển hình.  Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng chương trình. Tương tự. thuật toán đơn giản. Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS.  Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. IDS dựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 45 . gói nào không. Một số nhược điểm:  Khó khăn trong việc nâng cấp các kiểu tấn công mới. dễ dàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu. Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai thấp. Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. độ chính xác của chúng rất cao (số báo cảnh sai thấp). một số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ. Tuy nhiên chúng không thực hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới. Phải nâng cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó. Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:  Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP. dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công.  Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy. chúng được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.

cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện). mục tiêu trở nên không thể tiếp cận và không thể trả lời.  Network flooding bao gồm SYN flood.Tương quan các mẫu tham số Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháp trước. Đây là một kỹ thuật mạnh. Thứ hai. các quản trị viên kiểm tra các hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Trước tiên. 4. hệ thống và ứng dụng. từ subtle malformed packet đến full-blown packet storm. Sự khác nhau ở đây nằm ở chỗ trong thực tế. một profile là một phần hiểu biết của con người. Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối với chính hoạt động đó. Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. Nó kế thừa những nhược điểm trong thực tế là con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm. Cuối cùng. Nó được sinh ra do nhu cầu thực tế rằng. nền tảng. Nó có thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng.… Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 46 . III. Denial of Service attack (Tấn công từ chối dịch vụ) Cho dù đa dạng về kích cỡ và hình dạng. Ping flood hay multi echo request. điều đó có nghĩa là các tấn công nào đó có thể vượt qua mà không bị phát hiện.  Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai lý do.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu nghiêm ngặt của nó với hệ điều hành (phiên bản. sự lạm dụng quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công). nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn công đã biết và để gán tên đối với một tấn công.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 1. Denial of service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích. Điển hình. các ứng dụng được sử dụng…)  Chúng dường như khó quản lý các tấn công bên trong. bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công không biết.

Yếu tố “time-to-response” rất quan trọng trong trường hợp này để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại. trang web. nhưng chúng có thể được sử dụng để gây hại cho hệ thống. nhưng không hiệu quả bằng giải pháp dựa trên mạng.… Ví dụ như một email rất dài hay một số lượng lớn email. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa. gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng. Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài. chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước. hay một số lượng lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng đó. Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập. Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra. Các công cụ quét và thăm dò bao gồm SATAN. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị. Scanning và Probe (Quét và thăm dò) Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu. tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin. NETA CyberCop. LAND. gây quá tải hệ thống. cơ sở dữ liệu. Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này. ISS Internet Scanner. và AXENT NetRecon. email.  Phá hoại. Teardrop. thiết bị bao gồm Ping of Death. 2.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Phá hoại hệ thống. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 47 . Bonk. các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại. Asmodeus.

ngoài ra không thể không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm. Với bẻ khóa. Hiện nay. trojan cho người quản trị. tên thông dụng và các phép hoán vị.0). chương trình có kèm keylogger. kẻ tấn công cần truy nhập tới mật mã đã được mã hóa. gửi thư. dùng vũ lực ép buộc. Password attack (Tấn công vào mật mã) Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack.… Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 48 . Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng dễ dàng. hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm…  Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2. Với tốc độ máy tính hiện nay. mang lại quyền hành và tính linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm lại mật mã. bất cứ mã nào nhỏ hơn 6 ký tự. Kiểu dễ nhận thấy nhất là ăn trộm mật mã. Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điển).ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chính sách bảo mật theo chiều sâu 3. hay file chứa mật mã đã mã hóa. kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng.

Ngoài ra hành động chiếm đặc quyền của hệ điều hành và Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 49 . scrip hay các lỗi của hệ điều hành và ứng dụng. Khi thành công. sử dụng tài khoản khách rồi chiếm quyền quản trị. do việc đó xảy ra trên thiết bị chủ. Trong hệ điều hành UNIX. Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Dự đoán và bẻ khóa ví dụ như: đoán từ tên. Privilege-grabbing (Chiếm đặc quyền) Khi kẻ tấn công đã xâm nhập được vào hệ thống. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã. Host-based IDS có thể ngừng hành động này. nó thường gây lỗi hỏng core. trên NetWare là “Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên Internet. chúng sẽ cố chiếm quyền truy nhập. ta có một số công cụ như LOPHT Crack. các phương thức tấn công như brute force. ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ nhớ. ở cấp phần mềm. điều này nghĩa là trở thành “root”. 4. từ các từ thông dụng (có thể dùng khi biết username mà không biết mật mã). nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy các chương trình bẻ khóa. chúng đã chiếm được hệ thống. Khi chiến thuật này được sử dụng với chương trình hệ điều hành đặc quyền. các thông tin cá nhân. đoán mật mã đã mã hóa từ các từ trong từ điển. Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống thông thường. pwldump. ở Windows NT là “Administrator”.… Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công). Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:  Đoán hay bẻ khóa của root hay administrator  Gây tràn bộ đệm  Khai thác Windows NT registry  Truy nhập và khai thác console đặc quyền  Thăm dò file. dẫn đến kẻ tấn công có thể có quyền truy cập “superuser”.

Applet đó có vẻ như thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như tải file lên web site của kẻ tấn công. nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống. ngày. xóa file.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảy ra. hay tạo backdoor cho lần truy nhập trái phép tiếp theo. Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng. Virus thường được xác định nhờ vào những hành động có hại của chúng. nhưng không có mục đích nhân bản. Mã này có thể lấy trộm dữ liệu. file của ứng dụng hay dữ liệu. có thể được kích hoạt dựa trên sự kiện. Hostile code insertion (Cài đặt mã nguy hiểm) Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. thường có hại. nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống. Sensor IDS nhận dữ liệu về cuộc tấn công 5. có hoặc không có hại.  Malicious Apple : đây cũng là một loại Trojan. …  Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động.dll” trên Windows NT). Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 50 . gây từ chối dịch vụ.  Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống trong tương lai (như “msgina. chúng thường là Java hay ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:  Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động.

Còn Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan trọng và xác định việc truyền thông có chứa key word. Ví dụ như mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang web nằm trên đó. Các file quan trọng được quản lý bằng Host IDS có thể đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. phá block khởi động và chương trình hệ điều hành. ví dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor. nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. 6. Trong một số trường hợp IDS có thể dựa vào biên bản của hệ điều hành. xóa file. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn mã nguy hiểm lên gateway. Cyber vandalism (Hành động phá hoại trên máy móc) Cyber Vandalism bao gồm: thay đổi trang web. nhưng trong nhiều trường hợp việc ghi biên bản có chứa quá nhiều overhead (như với Winddows NT). Host-based IDS còn có thể thực hiện các hành động đối phó. 7. cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. ứng dụng cũng như xóa file và thay đổi trang web. Trong một số trường hợp rất khó Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 51 . IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm. Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục đích kiểm tra tính toàn vẹn. Trong các trường hợp đó. server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm. các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu. là những hành động được Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành. Giải pháp của IDS: Mô hình Host-based IDS thực hiện việc quản lý các dữ liệu quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. Proprietary data theft (Ăn trộm dữ liệu quan trọng) Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra ngay trong tổ chức đó. Ngoài việc tăng cường chính sách bảo mật trong hệ thống. số các cuộc tấn công từ bên ngoài đã liên tục tăng trong một vài năm qua. Kết hợp với các sự kiện khác. Giải pháp của IDS: Đối với giải pháp của Host-based IDS. format ổ đĩa. applet.

Audit trail tampering (Can thiệp vào biên bản) Như đã nói đến ở trên. Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho các công việc đi ngược lại với mục đích của tổ chức. lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh tế trong thời kỳ hiện nay. waste. Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các URL. Can thiệp vào biên bản là cách được ưa thích để loại bỏ hay che dấu vết. Dưới đây là các phương thức hacker thường dùng để tấn công vào audit trail và che dấu vết: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 52 . Gian lận liên quan đến việc chuyển tiền bất hợp pháp. lãng phí và lạm dụng) Gian lận. tuy nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể hoạt động hiệu quả hơn. 8. Fraud. abuse (Gian lận. thì phần mềm IDS trên host đó có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền thông. các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua host-based IDS cũng như network-based IDS.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu có thể phát hiện được một host nghe trộm trên mạng. Host-based IDS có thể thực thi một chính sách do công ty đặt ra. Bất cứ thay đổi có thể ngay lâp tức được ghi trong biên bản hệ thống. hầu hết các thông tin tạo nên từ các hành động của người dùng được ghi trong các audit trail riêng của hệ thống của doanh nghiệp. agent có thể dễ dàng theo dõi các hành động đó. can thiệp vào tài khoản nhà băng. HIDS rất có hiệu quả đối với Internal threat 9. có thể duy trì một danh sách URL động và chính sách lạm dụng dựa trên USERID. và thao túng chương trình kiểm tra viết (check writing). trộm số credit card.

Còn network-based IDS có thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng. tìm console quản trị không được chú ý. chỉnh sửa tài khoản của người dùng hay router.  Deactivation : ngừng tiến trình ghi sự kiện lên audit trail. 10. Network-based IDS có thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi. Security infrastructure attack (Tấn công hạ tầng bảo mật) Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng. như tạo tường lửa trái phép. hay thay đổi quyền của file. khi đã vào được hệ thống. Cuộc tấn công tạo ra thay đổi bằng cách truy nhập trái phép tới chức năng quản trị. ngừng hay sửa đổi) và thực hiện các hành động phù hợp.  Modification : sửa sự kiện mà nó ghi nhận được trước khi thoát khỏi hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Audit Deletion : xóa biên bản. hay router và firewall bị thay đổi một cách đáng nghi. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 53 . Giải pháp của IDS: Các hành động quản trị mạng thường là đăng nhập vào audit trail trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX. Giải pháp của IDS: Host-based IDS agent có thể quản lý việc can thiệp vào biên bản (xóa. Trong các trường hợp đó rất khó có thể phân biệt giữa một hành động tấn công và một hành động của người quản trị mạng.  Flooding : tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn công. hay tác động lên người quản trị để thực hiện hành động nào đó. Hostbased IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như đưa thêm tài khoản có đặc quyền.

File cấu hình chính của Snort là snort. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu. Các luật được nhóm thành các kiểu. vì bạn càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế. có thể được chỉnh sửa bởi người quản trị. PHP.Giới thiệu Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí. Mặc dù tất cả các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ thống tốt nhất hiện nay. Snort lưu trữ dữ liệu trong cơ sở dữ liệu MySQL bằng cách dùng output plug-in. Dữ liệu được thu thập và phân tích bởi Snort. tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức. Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:  Packet Decoder: Bộ giải mã gói Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 54 . được sử dụng để quét dữ liệu di chuyển trên mạng. được cài đặt trên một ost cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó. Snort chủ yếu là một IDS dựa trên luật.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chương III : Thực Nghiệm I. Người dùng có tạo nhiều kiểu truy vấn khác nhau để phân tích dữ liệu. Sau đó.Giới thiệu về Snort IDS 1.Các thành phần của Snort: Snort được chia thành nhiều thành phần. Web server Apache với ACID. Cũng có các hệ thống phát hiện xâm nhập host-based. Những thành phần này làm việc với nhau để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi. Snort sử dụng các luật được lưu trữ trong các file text. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS).conf. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập và bạn cũng có thể thêm vào các luật của chính bạn. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế. 2. thư viện GD và PHPLOT sẽ biểu diễn dữ liệu này trên trình duyệt khi một người dùng kết nối đếnserver. Bạn cũng có thể xóa một vài luật đã được tạo trước để tránh việc báo động sai.

Cho ví dụ.  Dectection Engine: Bộ máy phát hiện. Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo. Nếu bạn so khớp chính xác chuỗi này. bạn có thể tạo một rule để tìm một dấu hiệu “script/iiadmin” trong gói HTTP. Preprocessor (Bộ phận xử lí trước) Preprocessors là những thành phần hay những plug-in được sử dụng cùng với Snort để sắp xếp và thay đổi những gói dữ liệu trước khi detection engine thực hiện công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm./iisadmin” • “script/iisadmin” Để làm phức tạp trạng thái.  Logging và Alerting System: Hệ thông ghi nhận và cảnh báo. Cho ví du: • “script/. Tuy nhiên IDS vẫn theo dõi so Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 55 .. bạn có thể dễ dàng bắt lấy. hacker cũng có thể chèn vào Uniform Resource Identifier (URI) ký tự nhị phân hay Unicode mà vẫn hợp quy tắc của một web server. Preprocessor rất quan trọng đối với IDS nhằm chuẩn bị những gói dữ liệu để phân tích cho việc thiết lập rule trong detection engine.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Preprocessor: Bộ tiền xử lý. Chú ý rằng web server thường hiểu tất cả những chuỗi và có thể xử lý chúng chính xác như mong muốn trong chuỗi “script/iisadmin”. Hacker sử dụng những công nghệ khác nhau nhằm đánh lừa một IDS bằng nhiều cách khác nhau.  Output Modules: Các Modules xuất Packet Decoder (Bộ phận giải mã gói) Packet decoder lấy những gói từ những loại khác nhau của giao diện mạng và chuẩn bị đưa chúng vào preprocessor hoặc gửi nó qua detection engine./iisadmin” • “script/examples/.

• Lưu lượng trên mạng Khi thiết kế một NIDS.v. phân nửa dấu hiệu có thể cho thấy trong một đoạn này và nửa kia trong đoạn khác. chẳng hạn gói đó sẽ bị hủy. • Thông lượng bên trong đó. Giá trị này được điều khiển bởi giá trị MTU (Maximum Transmission Unit) cho giao diện mạng. Những chức năng này rất quan trọng trong thành phần IDS. hành động thích hợp sẽ sinh ra. Header gồm: TCP. Preprocessor thường được dùng để bảo vệ những loại tấn công này.. và những header lớp transport khác. Điều này có nghĩa là nếu bạn gửi dữ liệu lớn hơn 1500 byte. Để phát hiện chính xác dấu hiệu. Những phần này có thể là: • IP header của gói. nó có thể tiêu tốn bao nhiêu thời gian cho công việc đáp ứng các gói này. Nó cũng có thể làm việc trên ICMP header. UDP. bạn phải tái hợp gói. • Sức mạnh của hệ thống trên đó có Snort đang chạy. Nó chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói. kích thước mặc định lớn nhất cho gói dữ liệu trong mạng Ethernet thường là 1500 byte. Hệ thống nhận sẽ tái hợp để thành gói dữ liệu nguyên thủy. Phụ thuộc vào sức khỏe của hệ thống bạn và có bao nhiêu rule được định nghĩa. • Header lớp transport. SNMP Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 56 . trước khi bạn áp dụng những rule hay tìm một signature. nó không thể phát hiện ra sự tấn công này. Hacker sử dụng sự phân mảnh để đánh bại những hệ thống IDS. Trên IDS. Những hành động đó có thể là ghi gói hay sinh cảnh báo. mỗi gói phân mảnh đó có kích thước nhỏ hơn hoặc bằng 1500 byte. Những rule được đọc trong cấu trúc dữ liệu bên trong hay buộc chặt chúng vào nơi mà chúng sẽ so khớp với tất cả các gói. Sự vận hành của Detection engine phụ thuộc vào các yếu tố sau: • Số rule trên đó. Detection engine là một phần tiêu chuẩn thời gian (time-critical) của Snort. tái hợp luồng TCP. FTP header. gói đó thường bị phân mảnh. Nên nhớ rằng hệ thống phát hiện có thể khảo sát tỉ mỉ và áp dụng rule trên nhiều phần của gói dữ liệu. Dectection Engine (Bộ phận phát hiện): Detection engine là thành phần quan trọng nhất trong Snort. bạn phải giữ tất cả hồ sơ kỹ thuật trong đó. bạn có thể hủy những gói. Preprocessor cũng có thể sử dụng cho những gói phân mảnh.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu khớp chính xác. Nếu một gói nào đó khớp với rule. Khi một gói dữ liệu có kích thước lớn truyền vào một host. Detection engine tận dụng những rule Snort để làm việc này. Nếu lưu lượng trên hệ thống mạng của bạn là khá cao khi Snort làm việc trong chế độ NIDS. giải mã HTTP URI. Một preprocessor có thể sắp xếp lại chuỗi đó để nó có thể phát hiện được. • Header lớp application. Preprocessor trong Snort có thể phân mảnh gói. bạn phải kết hợp tất cả phân đoạn của mảnh. Cho ví dụ. Nó gồm có: DNS header. nó sẽ cắt thành nhiều gói. v. Cho ví dụ.

Những công cụ khác cũng có thể gửi cảnh báo trong những định dạng khác như e-mail hay qua giao diện web. Một rule thiếu trọn vẹn sẽ sinh ra một cảnh báo không trọn vẹn. • Ghi vào cơ sở dữ liệu như MySQL hay Oracle. Vấn đề này đã được sửa trong Snort phiên bản 2. chẳng hạn như tìm kiếm offset của dữ liệu. Bảng sau đây cho ta thấy những thành phần khác nhau của một IDS: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 57 . Phụ thuộc vào rule. Về cơ bản. Bạn có thể phải sử dụng nhiều phương pháp trực tiếp tại header lớp application. loại file tcpdump hay những hình thức ghi khác. Bạn có thể sử dụng dòng lệnh “–l” để thay đổi vị trí sinh log file hay cảnh báo. chỉ rule đầu tiên được áp dụng vào gói đó mà không tìm kiếm sự so khớp khác. detection engine ngừng xử lý trên gói đó khi một rule được so khớp trên gói đó. • Payload của dữ liệu. Việc ghi lưu trong những text file đơn giản. rule nào trọn vẹn nhất sẽ được chọn để sinh cảnh báo. Trong tất cả phiên bản Snort 1. Điều này có nghĩa là nếu một gói khớp với tiêu chuẩn được định nghĩa trong nhiều rule. Output modules có thể làm những việc sau: • Đơn giản chỉ ghi vào snort/log/ hay những thư mục khác • Gửi SNMP traps • Gửi thông điệp đến syslog.0 đã được làm lại một cách hoàn chỉnh để nó so sánh tốt hơn. Output Modules (Bộ phận đầu ra) : Output modules hay plug-in thực hiện những hoạt động khác nhau phụ thuộc bạn muốn lưu kết quả sinh ra bởi logging và cảnh báo thế nào. Detection engine làm việc khác nhau trong mỗi phiên bản Snort khác nhau. Đây là một vấn đề. Sau khi so khớp tất cả các rule. gói có thể được dùng để ghi hành động hay sinh cảnh báo. • Sinh ra dẫn xuất eXtensible Markup Language (XML) • Bổ sung cấu hình trên router và firewall.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu header. phát hiện sớm hơn so với các phiên bản trước. Logging và Alerting System (Hệ thống ghi và cảnh báo) : Phụ thuộc vào detection engine tìm trong gói. Phụ thuộc vào sự cấu hình. Điều này giúp bạn tạo ra một rule dùng cho detection engine để tìm một chuỗi bên trong dữ liệu. Có nhiều lựa chọn dòng lệnh sẽ được thảo luận trong phần sau và chi tiết thông tin về cách ghi log file hay cảnh báo. thâm chí nếu một rule khá đầy đủ (tương ứng với một cảnh báo tốt) có thể nằm sau rule trước nó. những modules này điều khiển loại kết quả sinh ra bởi hệ thống logging và cảnh báo. • Gửi thông điệp Server Message Block (SMB) đến hệ thống Microsoft Window. Detection engine trong Snort 2. tất cả các rule đều được so khớp vào một gói trước khi sinh một cảnh báo. SMTP header. Mặc định tất cả những log file được lưu trong /snort/log/.x. detection engine thực hiện những hành động thích hợp như ghi log file hay sinh một cảnh báo.

Snort 1. Rule option cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu. 3. bạn đã phân tích một số kỹ thuật tấn công DoS/DDoS để tìm ra những cơ chế hoạt động và thông tin về những công cụ và công nghệ của họ. Những rule này lấy cơ sở từ dấu hiệu kẻ xâm nhập (signature). Một rule có thể sử dụng để phát ra một thông điệp cảnh báo. Một rule có thể phát hiện một loại hay nhiều loại hành vi xâm nhập. Rule Header Rule Options Cấu trúc Rule Rule header chứa thông tin về hoạt động mà rule để lấy. pass gói dữ liệu (không làm gì cả). Rule “thông minh” là rule có thể áp dụng lên nhiều dấu hiệu xâm nhập. Rule option thường chứa một thông điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để phát sinh cảnh báo. Nó cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu. ghi và sinh kết quả cuối cùng. Snort phiên bản 2. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 58 . Snort rules có thể được sử dụng để kiểm tra những phần khác nhau của gói dữ liệu. 1. Bạn sẽ tìm thấy nhiều ví dụ của những rule chung cho hành vi phát hiện xâm nhập trong chương sau. trong những thuật ngữ của Snort. Có nhiều cuộc tấn công được biết đến cũng sử dụng signature để tìm một ai đó cố gắng khai thác chúng. Bạn cũng có thể sử dụng nhiều file bằng cách gôm chúng trong một file cấu hình chính. Trong chương này cung cấp thông tin về những loại rule khác nhau cũng như cấu trúc cơ bản của rule.conf. Hơn nữa. Thông tin về những signature này dùng để tạo Snort rules. Hầu hết những rules được viết trên một dòng đơn. hay. Snort rules được viết theo cú pháp dễ hiểu nhất. hầu hết hành động xâm nhập có vài loại signature. Những rule được áp dụng trong một kiểu nào đó đến tất cả các gói phụ thuộc vào loại đó. Những signature này có thể hiển thị trong phần header (tiêu đề) của gói dữ liệu hoặc trong payload.Tập luật (rulesets) trong Snort : Giống như virus. Tuy nhiên bạn cũng có thể mở rộng trên nhiều dòng bằng cách dùng một ký tự “\” vào cuối dòng.Cấu trúc của một rule: Tất cả các rule đều có 2 phần logic: rule header và rule options. tái hợp gói và tái hợp luồng TCP Áp dụng rule lên gói Sinh thông điệp cảnh báo và ghi lại log Xử lý cảnh báo. có những lổi cơ sở dữ liệu khiến cho những intruder muốn khai thác. chẳng hạn như là snort.x có hỗ trợ phần header lớp ứng dụng. phát hiện sự bất thường.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Tên Packet Decoder Preprocessor hay Input plugin Detection Engine Logging and Alerting System Output Modules Mô tả Chuẩn bị gói cho việc xử lý Dùng để bình thường hoá tiêu đề giao thức. Hệ thống phát hiện Snort dựa trên rules.x có thể phân tích ở những header ở lớp 3 và 4 nhưng không thể phân tích ở giao thức lớp ứng dụng. Rules thường đặt trong một file cấu hình. ghi một thông điệp.

có nghĩa là một cảnh báo sẽ sinh ra khi điều kiện bắt gặp. Header chứa những phần sau:  Một rule action (hành động của luật). Phụ thuộc vào trường action. Port number chỉ thích hợp trong trường hợp protocol là TCP hay UDP. nếu giao thức của gói không phải ICMP. Thành phần protocol là rất quan trọng khi bạn muốn áp dụng Snort rule chỉ trên những gói của một loại riêng biệt. nếu trường direction là “”.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Cấu trúc chung của rule header như sau: Action Protocol Address Port Derection Address Port Rule Header Action dùng để xác định loại hành động mà nó lấy về khi tiêu chuẩn gặp được và một rule được so sánh chính xác một gói dữ liệu. port numbers không có ý nghĩa. Địa chỉ nguồn và đích được xác định dựa trên trên trường direction. Trong ví dụ này cả hai đều là “any”. Trong trường hợp này. \ ttl: 100. Direction trong rule không đóng vai trò gí cả bởi vì rule được áp dụng lên tất cả các gói ICMP di  Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 59 . có nghĩa là rule sẽ áp dụng lên tất cả các gói không quan tâm đến địa chỉ đích.  Địa chỉ đích là cổng đích. Chú ý rằng có 2 trường địa chỉ trong rule. Cho một ví dụ. rule option có thể chứa tiêu chuẩn cho rule.  Địa chỉ nguồn và cổng nguồn. địa chỉ bên phải là đích. Nói lên địa chỉ và port number bên trái dấu  là nguồn còn bên phải là đích. Bạn cũng có thể sử dụng những thành phần khác để ngăn chặn những địa chỉ từ một mạng đầy đủ. Điều đó cũng có nghĩa rằng rule sẽ áp dụng lên gói đi từ nguồn đến đích. Nhớ rằng những gói được ghi bằng mặc định khi cảnh báo phát ra. có nghĩa là rule sẽ áp dụng lên tất cả các gói đến từ nhiều nguồn. Những hoạt động điển hình là sinh ra một cảnh báo hoặc ghi thông điệp hoặc diện chứng cho rule khác. rule sẽ không làm gì trên gói đó để tiết kiệm thời gian xử lý của CPU. Ở đây là ICMP. Trong giao thức TCP/UDP. Direction. nó là ký hiệu  từ trái sang phải. Ký tự <> cũng có thể sử dụng để áp dụng rule lên gói đi từ 2 bên. port xác định cổng nguồn và đích của gói khi rule áp dụng lên đó. Đây là tiêu chuẩn đầu tiên giám sát trong rule. rule sau đây sẽ sinh ra cảnh báo khi nó phát hiện gói ping ICMP (ICMP ECHO REQUEST) với TTL bằng 100: alert icmp any any -> any any (msg: "Ping with TTL=100". Cho ví dụ. Trong trường hợp những giao thức lớp network như IP và ICMP.  Protocol (giao thức). Phần trong dấu ngoặc đơn là rule option. Trong ví dụ này cả hai đều là “any”. Bạn cũng có thể dùng dấu  để định nghĩa địa chỉ nguồn/đích cho gói.) Phần nằm trước dấu ngoặc đơn gọi là rule header. Dĩ nhiên port number sẽ không áp dụng lên gói ICMP. Trong Snort detection engine. Trong rule trên. địa chỉ phía bên trái là nguồn. Protocol dùng để áp dụng rule lên gói chỉ với một giao thức riêng. action là “alert”. nghĩa là rule chỉ áp dụng lên tất cả gói ICMP.

cho nên có ý nghĩa khác nhau đi theo giao thức.0/24] any \ (content: "GET".0/24 any -> ![192.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu chuyển cả hai bên. Những đối số truyền vào từ lựa chọn từ khóa bằng một dấu “:”. Mẫu này có thể hiển thị ở dạng chuỗi ASCII hay nhị phân trong hình thức mã hexa.1. Lựa chọn msg là từ khóa và “Detected confidential” là đối số cho từ khóa này. từ khóa GET thường được sử dụng cho nhiều loại tấn công HTTP. Ký tự hexa nằm trong cặp dấu “||”.168.168. Rule sau đây phát hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát từ địa chỉ 192. Chẳng hạn như: msg: "Detected confidential". tuy nhiên ở đây rule chỉ giúp cho bạn hiểu như thế nào từ khóa này làm việc mà thôi: alert tcp 192. Nó hoạt động trên những giao thức riêng. Bạn cũng có thể kết hợp dạng ASCII và nhị phân trong hexa vào một rule. dạng lựa chọn này là AND.168.1. Có 3 từ khóa khác nhau dùng chung với content. Rule Option: Rule option theo sau rule header và được đặt trong cặp dấu ngoặc đơn.0/24] any \ (content: "|47 45 54|". Nếu bạn sử dụng nhiều lựa chọn.1.1. 54 = T.0/24 any -> ![192. Có thể một lựa chọn hay nhiều lựa chọn truyền vào cùng dấu. Những từ khóa này là tiêu chuẩn trong khi tìm một mẫu bên trong gói. Hành động trong rule header chỉ được gọi khi tất cả những tiêu chuẩn trong lựa chọn là đúng. Về nội dung (lớp application): Từ khóa content: Một chức năng quan trọng của Snort. Thường thì những lựa chọn có 2 phần: một từ khóa và một đối số. Bạn đã sử dụng option như msg và ttl trong ví dụ trước rồi đó.0. Đó là: Offst Depth Nocase Từ khóa offset: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 60 .168. Những Rule option chứa các đối số. do đã sử dụng từ khóa “any” trong cả hai thành phần địa chỉ nguồn và đích.1.) Số 47 tương đương mã ASCII là G.168. Sau đây là những từ khóa thông dụng . 45 = E. nó có khả năng tìm mẫu dữ liệu bên trong gói.) Rule dưới đây cũng tương tự nhưng nó liệt kê ở dang hexa: alert tcp 192. msg: "GET matched". msg: "GET matched". Tất cả những lựa chọn được định nghĩa bởi từ khóa.

Nếu bạn kết hợp offset và depth cùng với content. bạn có thể chỉ ra vùng dữ liệu mà bạn muốn lấy mẫu. Ví dụ sau sẽ bắt đầu tìm từ “HTTP” sau 4 byte kể từ byte đầu tiên trong gói.0/24 any -> any any \ (content: "HTTP". Dữ liệu sau khoảng này không lấy mẫu nữa.) Từ khóa depth định nghĩa điểm để Snort ngừng tìm kiếm mẫu.168. offset: 4. Từ khóa depth: Chỉ định một giới hạn dưới cho việc lấy mẫu. Nó không có đối số. Không cần phải tìm toàn bộ gói. depth: 40.1.0/24 any -> any any (content: \ "HTTP".ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu của phần dữ liệu của gói. alert tcp 192. Dùng depth cho phép bạn chỉ định một khoảng bắt đầu từ byte đầu tiên của gói. Từ khóa nocase: Nocase thường kết hợp với content.168. msg: "HTTP matched". msg: "HTTP matched". Từ khóa này dùng xác định phương hướng. thông tin về yêu cầu HTTP GET được tìm thấy từ đầu gói. Dùng một con số làm đối số cho từ khóa này. Nó chỉ giúp tìm mẫu trong dữ liệu không phân biệt chữ hoa hay thường. Nhiều gói được capture với kích thước rất lớn. lấy mẫu 4 byte và chỉ xét trong 40 byte đầu tiên: alert tcp 192. nó sẽ tốn nhiều thời gian để tìm kiếm. Từ khóa flow: Flow được sử dụng để áp dụng một rule trên những phiên TCP đến những gói trong phương hướng riêng. Cho ví dụ. Từ “to” mang ý nghĩa là đáp ứng (response) và “from” mang nghĩa là yêu cầu (request).) Nó rất quan trọng khi bạn muốn giới hạn công việc tìm kiếm trong gói. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 61 .1. Những lựa chọn có thể sử dụng cho từ khóa này xác định phương hướng: to_client to_server from_client from_server Những lựa chọn này lần đầu có thể gây cho bạn khó hiểu. offset: 4. Ví dụ bạn muốn tìm từ “HTTP”.

áp dụng rule chỉ trên những gói đã xây dựng từ một luồng. Từ khóa ipopts: Trong IPv4.M”.org/rfc/rfc791. D tương đương DF. Ví dụ. Lựa chọn IP dùng cho những mục đích khác nhau. R là RB. nó cho biết gói IP sẽ không phân mảnh.txt. Lựa chọn về IP: Từ khóa fragbits: Tiêu đề IP (IP header) chứa 3 cờ bit. Chức năng các cờ như sau: Bit dành riêng (RB – Reserved Bit). nếu là “-” thì bỏ bớt một số bit. Hacker có thể dùng những lựa chọn này để tìm thông tin về tổ chức mạng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Những lựa chọn khác dưới đây cũng có thể sử dụng để áp dụng rule vào các trạng thái khác nhau của kết nối TCP. Luồng TCP (TCP Stream)được xử lý bởi bộ tiền xử lý stream4 (thảo luận trong phần sau). dùng cho tương lai. Nếu bit này bật. Bit không phân mảnh (DF – Don’t Fragment Bit). áp dụng rule mà để xác lập chỉ những phiên TCP Lựa chọn no_stream. Nó có ý nghĩa. đi chung với “D. Bạn cũng có thể dùng dấu “!” trong rule. Lựa chọn stream_only. Bit có nhiều phân mảnh (MF – More Fragments Bit). loose và strict source routing có thể giúp Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 62 . Tương tự. Chiều dài của phần lựa chọn có thể lên đến 20 byte. dùng để phân mảnh và tái hợp gói IP. định tuyến nguồn siết chặc Trong Snort rule.R.-”.rfc-editor. Lựa chọn stateless. tiêu đề là 20 byte. Lựa chọn stateless và established liên kết đến trạng thái TCP. nếu là “+” tức là gắn thêm bit cờ với những bit khác. M là MF. hầu hết những lựa chọn thường dùng liệt kê trong RFC 791 tại http://www. ta cũng thường thấy các từ “+. bật những rule để áp dụng vào gói mà không cần xây dựng từ một luồng. áp dụng rule mà không cần xem trạng thái của phiên TCP Lựa chọn established. Ngoài ra. đó là: Record Route (rr) Time Stamps (ts) Lose Source Routing (lsrr): định tuyến nguồn nới lỏng Strict Source Routing (ssrr). Bạn có thể thêm những lựa chọn cho tiêu đề IP này.

Từ khóa ip_proto: Ip_proto sử dụng IP Proto plug-in để xác định con số giao thức trong IP header. etherip 97 Encapsulation encap # scheme gmtp ifmp Protocol pnni 102 PNNI # PNNI over IP Rule sau kiểm tra nếu giao thức IPIP là đang sử dụng bởi gói dữ liệu: alert ip any any -> any any (ip_proto: ipip.) Tiếp theo. ta dùng một số thay vì tên (hiệu quả hơn) alert ip any any -> any any (ip_proto: 94. scc-sp Sec. Tuy nhiên. bạn có thể sử dụng một tên cho giao thức nếu nó đã định nghĩa trong file /etc/protocols. \ msg: "Loose source routing attempt".ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu hacker khám phá ra đườn dẫn của một mạng nào đó tồn tại hay không. bạn có thể phát hiện những nổ lực tìm kiếm của hacker bằng từ khóa ipopts. bạn không thể chỉ định nhiều từ khóa lựa chọn IP trong một rule. Từ khóa yêu cầu con số giao thức như một đối số. Rule sau áp dụng cho Losse Source Routing: alert ip any any -> any any (ipopts: lsrr. Xem mẫu file tương tự như sau: ax. \msg: "IP-IP tunneling detected".25 94 IPIP 95 MICP # AX.25 ipip micp Control Pro.25 Frames # Yet Another IP encapsulation #Mobile Internetworking Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 63 . \msg: "IP-IP tunneling detected". Pro.) 100 GMTP 101 IFMP # GMTP # Ipsilon Flow Management 98 ENCAP 99 # Yet Another IP encapsulation # any private encryption ETHERIP # Ethernet-within-IP 96 SCC-SP # Semaphore Communications 93 AX.) Bạn cũng có thể dùng từ khóa logto để ghi thông điệp vào một file. Dùng những Snort rule.

nó có giá trị là 0 và một gói ICMP được sinh ra. Traceroute gởi những gói UDP với giá trị TTL tăng dần. Định dạng chung của nó như sau: ttl: 100. Đối số này là một sequence number. Tiện ích traceroute sử dụng TTL để tìm bộ định tuyến kế tiếp trong đường đi của gói. Sử dụng gói ICMP này.org. Khi gói này đến router thứ 5. Từ khóa có một giá trị cho biết chính xác giá trị TTL.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Những giao thức mới nhất có thể tìm thấy từ ICANN tại http://www. nó cho biết đây là phân mảnh cuối cùng của một gói IP (nếu gói IP đó bị phân mảnh). Nó có định dạng: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 64 . Khi nó có giá trị là 0. Giá trị 0 cũng cho biết rằng nó chỉ phân mảnh nếu gói đó là không phân mảnh. router sinh ra một gói ICMP đến nguồn. Định dạng của nó là: id: "id_number" Nếu giá trị của trường id trong IP header bằng 0. bao gồm ICMP. Ví dụ. Từ khóa cần chính xác giá trị TTL để mà so khớp. UDP và TCP. để tìm router thứ 5. Giá trị TTL được giảm dần tại mỗi hop. Từ khóa ttl: Ttl được dùng để phát hiện giá trị Time o Live trong IP header của gói.org tại IANA http://iana. Mục đích của nó là phát hiện ra những tấn công mà có dùng ID cố định trong IP header. Từ khóa tos: Tos dùng để phát hiện ra một giá trị nào đó trong trường TOS (Type of Service) của IP header. traceroute sẽ gửi những gói UDP với TTL đặt là 5. Sử dụng ttl. bạn có thể tìm ra nếu một ai đó cố gắng traceroute qua mạng của bạn. Id trong Snort rule dùng để xác định phân mảnh cuối cùng trong gói IP.icann. Lựa chọn về TCP: Từ khóa seq: Seq trong Snort rule kiểm tra sequence number của gói TCP. Từ khóa id: Id dùng để so sánh trường ID phân mảnh của tiêu đề IP. tiện ích traceroute tìm ra địa chỉ IP của router.Từ khóa này có thể sử dụng với tất cả loại giao thức xây dựng trên giao thức IP. Ví dụ như sau: tos: 1.

168. Những cờ TCP được liệt kê trong bảng dưới. có chiều dài 32 bit. tương ứng với phép AND.+. Để phát hiện loại ping TCP này. Host đích là 192. \ msg: “SYNC-FIN packet detected”. bạn có thể tạo một rule như sau: alert tcp any any -> 192.org) sử dụng tính năng của gói TCP này đế ping một máy. Cờ bit này được sử dụng cho nhiều công cụ bảo mật nhằm mục đích khác nhau bao gồm công cụ quét cổng như nmap. Khi nmap nhận được gói RST này.1.168.0/24 any (flags: SF.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu seq: "sequence_number". Trường cho biết là sequence number tiếp theo của gói TCP bên gởi đang chờ đợi từ bên nhận.0/24.*” giống như cờ bit trong tiêu đề IP. Công cụ nmap (http://nmap. Snort hỗ trợ những loại cờ bit . nó có thể gửi một gói TCP tới port 80 với cờ ACK bật và sequence number là 0.0/24 any (flags: A. Sequence number là một phần trong tiêu đề TCP. Bạn có thể tham khảo thêm cờ flag trong TCP tại RFC 793 tại http://www.Bạn cũng có thể dùng dấu “!. Thường thì khi cờ A được bật. alert tcp any any -> 192.168. Mỗi cờ có thể dùng như một đối số cho flags trong Snort rule.org/rfc/rfc793. nó sẽ gửi về một gói RST. tuy nhiên nó thêm vào Snort chỉ phát hiện cho loại tấn công này. nó chỉ ra rằng host đó vẫn còn hoạt động. Trường này chỉ có ý nghĩa khi cờ ACK trong TCP header được bật. \ack: 0.1. OR và NOT. msg: "TCP ping detected".) Từ khóa ack: TCP header có một trường Acknowledgemant Number.) Rule này cho biết là thông điệp cảnh báo sẽ phát ra khi bạn nhận một gói TCP với cờ A bật và ACK chứa có giá trị 0. Từ khóa flags: Flags dùng để tìm ra cờ bit được bật trong tiêu đề TCP gói. Phương pháp này làm việc trên những host mà không đáp ứng những gói ICMP ECHO REQUEST.1. Lựa chọn về ICMP: Từ khóa icmp_id: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 65 . giá trị ACK không còn là 0.rfc-editor.txt. Cho ví dụ. bạn có thể sử dụng giá trị của ACK trong rule. Khi gói này không truy cập được do bên nhận có áp dụng rule đối với TCP.

Tuy nhiên. Đối số cho nó là một số và có định dạng sau: itype: "ICMP_type_number" Trường type trong ICMP header của gói dữ liệu được sử dụng để xác định loại gói ICMP. Xem rule sau. Cú pháp của nó là: icmp_seq: <ICMP_id_number> sequence number cũng là một trường trong tiêu đề ICMP và cũng có ích trong việc so sánh ECHO REQUEST và ICMP ECHO REPLY (xem RFC 792). Trường này được sử dụng để so sánh ECHO REQUEST và ECHO REPLY. ít ai mà dùng từ khóa này. \ msg: "ICMP ID=100". nếu bạn muồn sinh một cảnh báo cho loại thông điệp source quench. \msg: "ICMP Source Quench Message received". Trường này có ích cho việc nhận ra cái gói đáp ứng cho gói yêu cầu. alert icmp any any -> any any (icmp_id: 100.) Từ khóa itype: Tiêu đề ICMP đến sau tiêu đề IP và chứa một trường type. \ msg: "ICMP Sequence=100". Cú pháp của nó là: icmp_id: <ICMP_id_number> Trường nhận dạng một ICMP tìm thấy trong thông điệp ICMP ECHO REQUEST và ICMP ECHO REPLY (xem RFC 792).ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Lựa chọn icmp_id phát hiện ra ID của gói ICMP. Thường thì khi bạn sử dụng lệnh ping. Từ khóa này cho phép tìm một sequence number đặc trưng. cả hai loại ICMP đó được trao đổi giữa bên gửi và bên nhận. Luật sau kiểm tra nếu ICMP IP trong tiêu đề ICMP bằng 100 thì sinh một cảnh báo.) Từ khóa icode: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 66 . Bên gửi gửi gói ECHO REQUEST và bên nhận đáp ứng lại gói ECHO REPLY. nếu sequence number là 100 thì sinh cảnh báo: alert icmp any any -> any any (icmp_seq: 100.) Từ khóa icmp_seq: Lựa chọn icmp_seq tương tự như icmp_id. sử dụng rule sau: alert icmp any any -> any any (itype: 4.Từ khóa itype nhằm phát hiện những tấn công sử dụng trường type trong tiêu đề ICMP. Danh sách các loại ICMP khác nhau và giá trị của trường type tương ứng: Ví dụ.

Nếu trường code bằng 1. Trường code cho biết chi tiết loại đó.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Trong những gói ICMP. Đối số cho trường này là một số và có định dạng sau: icode: "ICMP_codee_number" Trường type trong tiêu đề ICMP cho biết loại thông điệp ICMP. gói ICMP là loại của dịch vụ và host. Từ khóa icode dùng để phát hiện trường code trong tiêu đề gói ICMP.Mô hình: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 67 . Ví dụ. gói ICMP là loại của dịch vụ và mạng. msg: "ICMP ID=100". Nó chứa một trường code.Thực hiện: 1. ICMP header đến sau IP header. Có thể có nhiều lý do sinh ra một ICMP redirect. gửi gói ICMP đến một mạng. Nếu icode dùng một mình thường không đạt được công việc tốt bởi vì những loại ICMP khác cũng có thể có cùng giá trị code giống nhau. gửi gói ICMP đến một host Nếu trường code bằng 2. II. Nếu trường code bằng 3. \ icode: 1. Rule sau sinh ra một cảnh báo cho những gói ICMP đến host: alert icmp any any -> any any (itype: 5. Icode trong Snort rule sử dụng để tìm giá trị trường code trong ICMP header. nếu trường type có giá trị là 5 thì loại ICMP là “ICMP redirect”.) Hai từ khóa itype và icode thường dùng chung với nhau. Trường code cho biết rõ những loại lý do đó: Nếu trường code bằng 0.

1.2.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 2.Thực hiện: Cài Snort: Cài Apache HTTP Server: Khởi động Apache HTTP Server: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 68 .Các phần mềm cần thiết: Snort Apache HTTP Server PHP5 MySQL 2.Thực hiện: 2.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Test Apache HTTP Server Cài PHP5: Cài MySQL cho Apache HTTP Server: Cấu hình lại file my.cnf: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 69 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Khởi động lại MySQL: Cài thư viện cho Apache HTTP Server: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 70 .

ini: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 71 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu CàiPHPMyadmin: Cấu hình lại file php.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo cơ sở dữ liệu để lưu file log:

Cài Snort cho MySQL:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 72

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Cấu hình file snort.conf:

Import table cơ sở dữ liệu cho Snort:
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 73

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Xem bảng database:

Table của Snort:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 74

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo một rule đơn gian : test.rules

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 75

google.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Nội dung của rules: Test rules vừa tạo: Install rules thành công: Truy cập trang www.com: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 76 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kết quả: Test tấn công Dos: Tool tấn công: DosHTTP: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 77 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Máy tấn công: Máy cài Snort: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 78 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kết quả: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 79 .

Inc. 2002. www. Springer. Attacks & Vulnerabilities”. Earl Carter. Fredrik Valeur. Cisco Secure Intrusion “The need for Intrusion Detection System”. ta có thể thực hiện nghiên cứu Hệ thống phát hiện và chặn xâm nhập (IPS) và triển khai cho các hệ thống mạng của các tổ chức. IDS giúp chúng ta khám phá.  Triển khai được một hệ thống phát hiện xâm nhập phổ biến là Snort  Nắm bắt được cơ chế viết luật cho Snort và đã viết được một số luật cơ bản. Giovanni Vigna. A look into IDS/Snort.  Trình bày được một số hình thức xâm nhập tấn công cơ bản và sử dụng Snort để phát hiện các tấn công đó. 2004 KnowledgeNet Security+ Student Guide. II. Tài liệu tham khảo 1. knowledgenet. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 80 . Module 1–3. “Computer security and Intrusion Detection”. 7. “How IDS Addresses common Detection System. Qua bài báo cáo này:  Nắm bắt được những khái niệm cơ bản nhất về một hệ thống phát hiện xâm nhập.com/ 2003 6.Kết luận: Cho thấy được sự cần thiết của bảo mật. 5. 2. http://searchsecurity. Intrusion Detection and Correlation: Challenges and Solutions. “Alert Correlation”. 3. Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. ”Part I”. phân tích một nguy cơ tấn công mới.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chương IV: Kết luận và Hướng phát triển I.com.D<QoDwriting@gawab. 2005. Từ đó vạch ra phương án phòng chống.com>. “Introduction to Network Security”. Q. Everything you need to know about IDS. Cisco Press.o. có thể lần tìm được thủ phạm gây ra một cuộc tấn công.org. đồng thời nói lên sự cần thiết của hệ thống phát hiện xâm nhập trái phép.snort.  Nghiên cứu cách sử dụng Snort để phát hiện các hình thức tấn cống hiện tại và có thể phát triển lên các phương pháp phòng chống tiên tiến hơn ở một tương lai không xa. những hạn chế của các phương pháp bảo mật hiện tại. Christopher Kruegel. Ở một góc độ nào đó.Hướng phát triển:  Sau khi đã nắm cơ bản về Hệ thống phát hiện xâm nhập (IDS). 4. 1999 AXENT Technologies. Threats.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 8.org/rfc/ Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 81 .ietf. http://www.

You're Reading a Free Preview

Tải về
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->