You are on page 1of 81

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM


KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN NGÀNH

HỆ THỐNG PHÁT HIỆN XÂM


NHẬP IDS

GVHD: Lư Huệ Thu


SVTH: Ngô Chánh Tính-107102245
Huỳnh Hoàng Tuấn-107102235
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

TPHCM, Tháng 11 Năm 2010


MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP


I. Những mối đe dọa về bảo mật
1. Mối đe dọa không có Cấu Trúc (Untructured threat)
2. Mối đe dọa có Cấu Trúc (Structured threat)
3. Mối đe dọa từ Bên Ngoài (External threat)
4. Mối đe dọa từ Bên Trong (Internal threat)
II. Khái niệm về bảo mật
1. Khái Niệm
2. Kiến Trúc Về Bảo Mật
III. Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống
A. Các Phương Pháp Xâm Nhập Hệ Thống
1. Phương thức ăn cắp thống tin bằng Packet Sniffers

2. Phương thức tấn công mật khẩu Password attack

3. Phương thức tấn công bằng Mail Relay

4. Phương thức tấn công hệ thống DNS

5. Phương thức tấn công Man-in-the-middle attack

6. Phương thức tấn công để thăm dò mạng

7. Phương thức tấn công Trust exploitation

8. Phương thức tấn công Port redirection

9. Phương thức tấn công Port redirection

10. Phương thức tấn Virus và Trojan Horse

B. Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập


1. Phương thức ăn cắp thống tin bằng Packet Sniffers

2. Phương thức tấn công mật khẩu Password attack

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 2


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

3. Phương thức tấn công bằng Mail Relay

4. Phương thức tấn công hệ thống DNS

5. Phương thức tấn công Man-in-the-middle attack

6. Phương thức tấn công để thăm dò mạng

7. Phương thức tấn công Trust exploitation

8. Phương thức tấn công Port redirection

9. Phương thức tấn công Port redirection

10. Phương thức tấn Virus và Trojan Horse

IV. Sự Cần Thiết Của IDS


1. Sự giới hạn của các biện pháp đối phó
2. Những cố gắng trong việc hạn chế xâm nhập trái phép

CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDS


I. Tổng Quan Về IDS
A. Giới Thiệu Về IDS
1. Khái niệm “Phát hiện xâm nhập”
2. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)
3. Phân biệt những hệ thống không phải là IDS
B. Lợi Ích Của IDS:
1. IDS (Intrusion Detection System)
2. IPS (Phát hiện và ngăn chặn xâm nhập)
2.1. Nguyên lý hoạt động của hệ thống
2.2. Các kiểu hệ thống IPS
C. Chức Năng của IDS
D. Phân Loại
1. Network-Based IDSs.
2. Lợi thế của Network-Based IDSs.
3. Hạn chế của Network-Based IDSs.
4. Host Based IDS (HIDS).

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 3


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

5. Lợi Thế của HIDS.


6. Hạn chế của HIDS.
7. DIDS.
E. Kiến Trúc Của IDS.
1. Các nhiệm vụ thực hiện.
2. Kiến trúc của hệ thống phát hiện xâm nhập IDS.
II. Phương Thức Thực Hiện.
1. Misuse – based system
2. Anomaly – based system

III. Phân loại các dấu hiệu


1. Phát hiện dấu hiệu không bình thường
2. Các mẫu hành vi thông thường- phát hiện bất thường
3. Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
4. Tương quan các mẫu tham số
CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS
1. Denial of Service attack (Tấn công từ chối dịch vụ)
2. Scanning và Probe (Quét và thăm dò)
3. Password attack (Tấn công vào mật mã)
4. Privilege-grabbing (Chiếm đặc quyền)
5. Hostile code insertion (Cài đặt mã nguy hiểm)
6. Cyber vandalism (Hành động phá hoại trên máy móc)
7. Proprietary data theft (Ăn trộm dữ liệu quan trọng)
8. Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)
9. Audit trail tampering (Can thiệp vào biên bản)
10. Security infrastructure attack (Tấn công hạ tầng bảo mật)
CHƯƠNG III THỰC NGHIỆM
I. Giới thiệu về Snort IDS
1. Giới Thiệu
2. Các thành phần của Snort
3. Tập luật (rulesets) trong Snort
II. Triển Khai IDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 4


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

1. Mô hình
2. Thực hiện
CHƯƠNG IV KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
I.Kết luận
II.Hướng phát triển

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN


XÂM NHẬP
Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Việc học
tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành
những hành động thường ngày của mọi người. Khả năng kết nối trên toàn thế giới đang
mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó
lường đe dọa tới mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây
ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch
vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho
người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng
và được quan tâm đến trong mọi thời điểm.
Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp
lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn
chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ
liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus
mới nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn
cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà
những phương pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến
yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật
truyền thống.
Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả
năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 5


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được
nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng
trong các chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm
nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực
tế. Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn
thời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều
trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của
các hệ thống ở Việt Nam hiện nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên
cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là
phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có
thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể
ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch
vụ cho người dùng.

I.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT


1. Mối đe dọa không có cấu trúc ( Untructured threat)

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải
chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người
thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu
hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công
chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay
những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân,
nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Những trường hợp đó có ảnh hưởng
xấu đến hệ thống và hình ảnh của công ty.
Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có
thể phá hoại hoạt động của công ty và là một mối nguy hại lớn. Đôi khi chỉ cần chạy
một đoạn mã là có thể phá hủy chức năng mạng của công ty. Một Script Kiddies có thể
không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục
đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 6


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

của hệ thống. Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù
không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống.
2. Mối đe dọa có cấu trúc ( Structured threat)
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như
Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh
sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt
động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạp
nhằm xâm nhập vào mục tiêu.
Động cơ của các cuộc tấn công này thì có rất nhiều. Một số yếu tố thường thấy có thể vì
tiền, hoạt động chính trị, tức giận hay báo thù. Các tổ chức tội phạm, các đối thủ cạnh
tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công
dạng structured threat. Các cuộc tấn công này thường có mục đích từ trước, như để lấy
được mã nguồn của đối thủ cạnh tranh. Cho dù động cơ là gì, thì các cuộc tấn công như
vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành
công có thể gây nên sự phá hủy cho toàn hệ thống.

3. Mối đe dọa từ bên ngoài (External threat)


External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong
hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các
cuộc tấn công như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng
cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này
xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ
nhiều tiền và thời gian để ngăn ngừa.

4. Mối đe dọa từ bên trong ( Internal threat )


Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của
bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập
mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường
biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 7


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường
bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng.
Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay
mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo
vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng
được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn.
Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn
lại thường là rất đơn giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured
internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài
nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm
nhất cho mọi hệ thống.

II.KHÁI NIỆM VỀ BẢO MẬT


1. Khái Niệm
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái
niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc
tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần
thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.
2. Kiến Trúc Về Bảo Mật
Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia
tăng độ an toàn cho hệ thống:
 Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của
thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần
mềm.
 Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài
nguyên của hệ thống.
 Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những
nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu
truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 8


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn
sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại
thông điệp đã được truyền.
 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm
được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn
sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.

III.Các phương pháp xâm nhập hệ thống và phòng chống


A.Các phương pháp xâm nhập hệ thống:
1.Phương thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên
mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting
network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua
mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một
công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ
đó có thể truy xuất vào các thành phần khác của mạng.
2. Phương thức tấn công mật khẩu Password attack
Các hacker tấn công password bằng một số phương pháp như: brute-force attack,
chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer
và IP spoofing có thể lấy được user account và password, như hacker lại thường sử
dụng brute-force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,
cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.
3.Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc
Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server
để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn
thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc
với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn
công D.o.S vào một mục tiêu nào đó.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 9


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

4.Phương thức tấn công hệ thống DNS


DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ
thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại
nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.

5.Phương thức tấn công Man-in-the-middle attack


Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví
dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng
của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased
line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của
công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.
6.Phương thức tấn công để thăm dò mạng
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi
một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin
về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công
cụ như DNS queries, ping sweep, hay port scan.
7.Phương thức tấn công Trust exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với
mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với
hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần
theo quan hệ đó để tấn công vào bên trong firewall.
8.Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột
nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy
nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ
có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên
DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside
đến host inside.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 10


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

9.Phương thức tấn công lớp ứng dụng


Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những
cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail,
HTTP, hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port
cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP
port 80, mail server bằng TCP port 25.

10.Phương thức tấn Virus và Trojan Horse


Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa
thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một
chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì
hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một
game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game,
Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác
nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có
trong address book của user đó.
B. Các phương pháp phát hiện và ngăn ngừa xâm nhập:
1.Phương thức ăn cắp thống tin bằng Packet Sniffers
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội
bộ, các kết nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
 Authentication

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs).
Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number
( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng.

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách
ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy
nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers,
thông tin đó cũng không có giá trị vì nó đã hết hạn.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 11


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong
mạng.
Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng.
Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập
vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này
không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm
ảnh hưởng của nó.

 Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên
mạng.
 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó,
nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.
Cisco dùng giao thức IPSec để mã hoá dữ liệu.
2. Phương thức tấn công mật khẩu Password attack
Phương pháp giảm thiểu tấn công password:
 Giới han số lần login sai
 Đặt password dài
 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an
toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa
3.Phương thức tấn công bằng Mail Relay
Phương pháp giảm thiểu :
 Giới hạn dung lương Mail box
 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho
SMTP server, đặt password cho SMTP.
 Sử dụng gateway SMTP riêng
4.Phương thức tấn công hệ thống DNS
Phương pháp hạn chế:
 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
 Cài đặt hệ thống IDS Host cho hệ thống DNS
 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
5.Phương thức tấn công Man-in-the-middle attack

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 12


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các
hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
6.Phương thức tấn công để thăm dò mạng
Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có
thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó
cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.
NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.

7.Phương thức tấn công Trust exploitation


Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào
mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào
của mạng.
8.Phương thức tấn công Port redirection
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có
thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.
9.Phương thức tấn công lớp ứng dụng
Một số phương cách để hạn chế tấn công lớp ứng dụng:
 Lưu lại log file, và thường xuên phân tích log file
 Luôn cập nhật các patch cho OS và các ứng dụng
 Dùng IDS, có 2 loại IDS:
• HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn
công lên server đó.
• NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó
thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể
phát cảnh báo, hay cắt session đó.
Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn
công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một
signature nào đó, nó sẽ phát cảnh báo.
10.Phương thức tấn Virus và Trojan Horse

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 13


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn
cập nhật chương trình chống virus mới.

IV . SỰ CẦN THIẾT CỦA IDS


1 . Sự giới hạn của các biện pháp đối phó
Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ
đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ
thống vẫn có nguy cơ bị tấn công cao.

Firewall bảo vệ hệ thống


Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet
bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. Nó hạn chế
việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro
cho hệ thống. Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể.
Tuy nhiên Firewall cũng có những điểm yếu sau:
 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và
không thể chống lại sự đe dọa từ trong hệ thống.
 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể
cho phép việc thăm dò điểm yếu.
 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này
cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy
nhập một cách tin cậy và loại bỏ được cơ chế firewall.
 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc
không an toàn gia nhập hoặc rời khỏi hệ thống.
 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.
Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền
thông đầu cuối các dữ liệu quan trọng. Nhóm mã hóa với việc xác thực khóa công khai

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 14


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối, sự tin cậy
và toàn vẹn dữ liệu.

Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy


Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác
thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả những
hành động của người dùng. PKI có vai trò như khung làm việc chung cho việc quản lý
và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. Nó cũng
tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng. PKI cho phép ứng
dụng ngăn cản các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mới
bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý
do sau:
 Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng
chỉ không đồng nhất.
 Có quá ít ứng dụng có sử dụng chứng chỉ.
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng
không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được
định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích
xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
2. Những cố gắng trong việc hạn chế xâm nhập trái phép
Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô
lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 15


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

ta an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận
thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra
(audit trail) với mọi hành động có liên quan đến bảo mật. Ngày nay, hầu hết các hệ điều
hành, ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra. Tư tưởng cơ
bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi. Trong khi đó
trong thực tế, quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn, sức
người có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn. Ví dụ như
vào năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là AUDIT, có nhiệm vụ
tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn. Vào năm 1987, một dự
án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện
đọc audit trail và tạo ra khuôn mẫu những hành động thông thường, sau đó gửi thông
báo về những hành động lệch so với khuôn mẫu đó. Trong suốt những năm đầu của
thập kỷ 90, cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự
kiện có trong audit trail.
Tuy nhiên, hầu hết các công ty không thể sử dụng được phương pháp phân tích log
này vì hai lý do chính. Thứ nhất là công cụ đó khá nặng, phụ thuộc vào khả năng hiểu
loại tấn công và điểm yếu của người dùng. Với sự tăng trưởng của số người dùng, hệ
điều hành, ứng dụng, cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm
chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ. Do đó, các tổ chức nhận ra rằng thao
tác viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành hệ
thống và duy trì đủ hiệu suất. Nửa cuối những năm 90 chứng kiến sự mở rộng của các
ứng dụng tạo audit trail mới để quản lý, như router, network traffic monitor, và firewall.
Tuy hệ phương pháp IDS đã phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra:
“Làm sao có thể biết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi và phản
ứng khi ta bị tấn công?”
Scanner, các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ
hổng bảo mật trước khi bị tấn công. Chúng có thể làm được điều đó dựa trên việc tìm
khiếm khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, những
hệ thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung. Các công cụ này
có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cung
cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. Chúng
có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 16


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

công ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các scanner
chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ
công. Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành, server
hay ứng dụng mới vào mạng. Cũng như các công cụ kiểm tra biên bản, scanner và các
công cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt động
của con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức. Ta có
một chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó”. Một lợi
ích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệch
trong bảo mật và biểu đồ thông tin. Nó có thể được sử dụng để xác định hiệu quả thực
tế của bảo mật và dự đoán hiện tại cũng như tương lai.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 17


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

CHƯƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS


I .Tổng quan về IDS
A. Giới thiệu về IDS
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của
James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các
hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm
dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát
hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được
sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái
niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các
phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ
IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS
mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS,
một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung
cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển
1. Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính
hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.
Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến
tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế
bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một
kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng
có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền
khác mà họ chưa được cấp phát. Như đã đề cập ở trên, hệ thống phát hiện xâm nhập là
hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát
hiện ra các dấu hiệu xâm nhập.
 Network IDS hoặc NIDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 18


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Là các hệ thống phát hiện tấn công, nó có thể bắt giữ các gói tin được truyền trên
các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín
hiệu.
 Host IDS hoặc HIDS
Được cài đặt như là một tác nhân trên máy chủ. Những hệ thống phát hiện xâm
nhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống để
phát hiện những hành động xâm nhập.
 Signature
Là những phần mà ta có thể thấy được trong một gói dữ liệu. Nó được sử dụng
để phát hiện ra một hoặc nhiều kiểu tấn công. Signature có thể có mặt trong các phần
khác nhau của một gói dữ liệu. Ví dụ ta có thể tìm thấy các tín hiệu trong header IP,
header của tầng giao vận (TCP, UDP header) hoặc header tầng ứng dụng. Thông
thường, IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập. Các
nhà cung cấp IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng
bị phát hiện ra.
 Alert
Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp. Khi
IDS phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị bảo mật bằng alert.
Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều cách
khác. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảo
mật có thể xem lại.
 Log
o Thông thường, những thông tin mà IDS thu được sẽ lưu lại trong file.
Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân. Tốc độ lưu
lại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text.
 False Alarm
Là những thông báo đúng về một dấu giống dấu hiệu xâm nhập nhưng hành
động .
 Sensor
Là những thiết bị mà hệ thống phát hiện xâm nhập chạy trên nó bởi vì nó được
sử dụng như các giác quan trên mạng. Cũng tương tự như các sensor trong các tài liệu

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 19


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

kỹ thuật khác, sensor dùng để bắt tín hiệu âm thanh, màu sắc, áp xuất... thì sensor ở đây
sẽ bắt các tín hiệu có dấu hiệu của xâm nhập bất hợp pháp.
Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. Ta có thể đặt ở một
hoặc nhiều nơi, nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external
hoặc cả 2). Ví dụ, nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có
một router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hay
firewall). Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi
điểm kết nối với Internet. Ta có thể hình dung qua hình vẽ sau:

2. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)


là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho
hệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thông
bất thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người
dùng hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng.
- IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những
người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên
các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus
dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các
dấu hiệu khác thường.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 20


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng
để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải
với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
 Tính chính xác (Accuracy): IDS không được coi những hành động thông thường
trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành
động thông thường bị coi là bất thường được gọi là false positive).
 Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái
phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép
phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo
[Ranum, 2000] là dưới 1 phút).
 Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép
nào (xâm nhập không bị phát hiện được gọi là false negative). Đây là một điều
kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các
tấn công từ quá khứ, hiện tại và tương lai.
 Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công.
 Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu
nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ thống mà các sự
kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự
phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự
tăng trưởng của số lượng sự kiện.
3. Phân biệt những hệ thống không phải là IDS
Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống
phát hiện xâm nhập, không phải mọi thứ đều được qui vào mục này. Theo một cách
riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS:
• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề
tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu
lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch
vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy
hiểm như virus, trojan horse, worm,...Mặc dù những tính năng mặc định có thể giống
IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.
• Tường lửa – firewall

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 21


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

• Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,..

B. Lợi ích của IDS:


Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước.
Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc
tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai,
trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành
động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn
các cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó
đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt
khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa
trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp
phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
C.Sự khác nhau giữa IDS và IPS
1. IDS (Intrusion Detection System )
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống
máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà
số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống
phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật
của các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành
phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn
ngừa xâm nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể
“nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý –
liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện
hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một
nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả
những gì liên quan đến mối đe doạ đều bị ngăn chặn.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 22


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

2. IPS (phát hiện và ngăn chặn xâm nhập )


2.1 Nguyên ý hoạt động của hệ thống
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn
công đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả
các thiết bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được
xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra
các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn
thành công và chính sách quản lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul
phân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng.
• Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng
card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích đọc thông tin
từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông
tin này được chuyển đến modul phát hiện tấn công.
• Modul phát hiện tấn công:
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công.
Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dò
sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống,
tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là
phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc
tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt
động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống
của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các
cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống
luôn phải cập nhật các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra
các hành động không bình thường của mạng. Quan niệm của phương pháp này về các
cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữ các

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 23


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có
những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có
một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như
dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các ức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự
bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt
động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu
hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập,
hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử
của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế
độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách
so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc
để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải
dừng lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động
của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt
động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả
trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các
tin tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện
các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát
hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp
dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh
báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được
nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để
hệ thống chạy chuẩn xác hơn.)
• Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín
hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul phản
ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 24


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và
dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng
này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. Dưới
đây là một số kỹ thuật ngǎn chặn:
- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá
huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm. Thời
gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đến
tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không hiệu quả
với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải có
trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công. Nếu
tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này.
- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một
gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản ứng này
là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình
lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các
chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người
quản trị.
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp
tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho modul phát hiện tấn cônghoạtđộng.
2.2 Các kiểu hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.a) IPS ngoài
luồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ
liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ
liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này,
IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không
làm ảnh hưởng đến tốc độ lưu thông của mạng.
b)IPS trong luồng

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 25


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức
tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu
thông. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so
với IPS ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào
mạng chậm hơn.
C .Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những
đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe
dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an
ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những
đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu
của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ
thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều
tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý
do tại sao nên sử dụng hệ thống IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong
hệ thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá
hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông
tin của người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ
thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập
thông tin bất hợp pháp.
• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa
chữa…
Nói tóm lại ta có thể tóm tắt IDS như sau:
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
 Giám sát: lưu lượng mạng và các hoạt động khả nghi.
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 26


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Chức năng mở rộng:


Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline.
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
 Ngăn chặn sự gia tăng của những tấn công
 Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
 Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên. Việc
đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách
bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
D. Phân loại:
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn
công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có
thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
 Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập
hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn
công.
 Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình
thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu
tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
 Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường.
Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.
 Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành
động nào là tấn công.
 Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.
1.Network Base IDS (NIDS)

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 27


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng.
Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những
mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận
và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay
dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình
nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor
được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã
được định nghĩa để phát hiện đó là tấn công hay không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ
lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay
phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.
Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức
cao.
2. Lợi thế của Network-Based IDSs:
- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 28


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

3. Hạn chế của Network-Based IDSs:


- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà
NIDS báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được
phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới
hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại
những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng
của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để
cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò
được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống
IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một
kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói
dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra
những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất
hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến
phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng
cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện
các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một
cách chính xác.
4.Host Based IDS (HIDS)

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 29


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ
quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu
thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch
sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi
những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên
máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa
là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm
trên máy chủ bị tấn công (compromised host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền
truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể
tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng
(network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công
mà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điều
khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì
hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật
lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công
dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử
lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của
một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 30


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ -
thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay
đổi trên hệ thống, bao gồm (not all):
 Các tiến trình.
 Các entry của Registry.
 Mức độ sử dụng CPU.
 Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
 Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi
trên hệ thống file sẽ gây ra báo động.
5.Lợi thế của HIDS:
 Có khả năng xác đinh user liên quan tới một event.
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS
không có khả năng này.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
6.Hạn chế của HIDS:
 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải được thiết lập trên từng host cần giám sát .
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.
 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được
trên UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả
các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên
bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian
và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những
lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 31


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy
chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét
ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa
hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ
đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ
khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một
vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó
trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên
tất cả các hệ điều hành.
7.DIDS
DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. Mỗi
sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server
để xử lý.
DIDS có khả năng xử lý tập trung, giúp cho người quản trị có khả năng theo dõi toàn
bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều
sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung tâm ISC
(Internet Storm Center) của viện SANS.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 32


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS


Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân
tích dữ liệu trong thời gian thực. Network-based IDS không có tác động tới mạng hay
host, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó
cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại network
routing có thể là cần thiết với môi trường chuyển mạch.
Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và
anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống
ở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạng
đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Do nó
hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn
flood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ
thống console của network-based IDS và trên môi trường chuyển mạch.
Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng được
thiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cần
phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng
trong thời gian ngừng hoạt động.
Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng
và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các
cảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lý
và phản ứng với các cuộc tấn công.
Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông
tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù NIDS cũng có giá trị
riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp để
phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Hầu hết các NIDS đều
không hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ở
mạng có mã hóa. Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ
ngay trong tổ chức. Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn
vào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Nói chung một môi
trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 33


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp
một host trên mạng.

Một ví dụ sử dụng kết hợp NIDS và HIDS.

Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các
kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được đặt trước đường ra
mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Phía bên trong Host-based IDS
được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager
Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm
nhập trái phép.
Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thời
nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một hacker muốn xâm nhập
vào hệ thống. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root
directory của web server bằng một tập file nào đó. Nhưng nó không thể phát hiện được
nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX
server. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa
thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó
định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được
sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol
stack và không thể phục vụ được). Còn một network-based IDS với bộ dấu hiệu tĩnh có
thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như
LAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 34


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

tin credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và network-
based IDS có thể phát hiện được tất cả các kiểu tấn công trên.
E. Kiến trúc của IDS
Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và
kiểm tra khác nhau của các hệ thống. Một hệ thống IDS được xem là thành công nếu
chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý,
phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính
sách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng
nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau:
1. Các nhiệm vụ thực hiện
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy
tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ thuộc
vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết
hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc làm
lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ
quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. Dữ liệu
được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là
nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).

prevention

Simulation
Intrustion Monitoring

Analysis

Intruction detection

Notification
Respose

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 35


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

IDS Tasks

Monitoring Notification

Protected system Additional IDS Infas tructure


Response

Sessions

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị
viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa
để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ
sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức (Hình 2.3.1b). Một
IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình
tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương
lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra
do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký
thông qua mail.
2. Kiến trúc của hệ thống phát hiện xâm nhập IDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 36


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin
(information collection), thành phần phân tích gói tin(Dectection), thành phần phản hồi
(respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong ba thành
phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ
cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu
rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách
sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin
sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách
thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói
mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống
được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện
được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực
hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 37


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích
đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục
này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường,
các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số
cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ
sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ
nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng
truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân,
nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo
vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí
đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân
tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử dụng
nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công
phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính
roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành
cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi
nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào
đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết
một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân
có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có
thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong
các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động
được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn
gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận
thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 38


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc
và thu thập dữ liệu.

Ngoài ra còn có 1 số điểm chú ý sau:


- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp
cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.
- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát ,
kiểm tra thông tin đầu vào đầu ra:
+ Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện,
phân tích, đáp trả, báo cáo từ vị trí trung tâm:
+Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về báo
cáo về vị trí trung tâm.
+Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp
điều khiển các thao tác giám sát, kiểm tra báo cáo.

II.PHƯƠNG THỨC PHÁT HIỆN


1. Misuse – based system
Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công,
đó là knowledge-based và signature-based.
Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng
tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ
liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ
dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 39


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy
nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với
nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó
khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công
đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn
công và lỗ hổng mới.

Match ?
Audit Data Knowledge Base
Attack

Knowledge – based IDS


Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn
công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu
tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói
tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở dạng cho
phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự
kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽ
tạo ra cảnh báo.
Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi
chính xác về cảnh báo, và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có
những điểm yếu sau:
 Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
 Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ
liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
 Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát
hiện những biến thể của nó.
Ví dụ quen thuộc về signature-based là Snort, EMERALD và nhiều sản phẩm thương
mại khác.
Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai, chúng có sự khác biệt cơ bản
về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập
trái phép).

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 40


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Stateless IDS coi các sự kiện là độc lập với nhau, khi việc xử lý sự kiện hiện tại đã
hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. Phương pháp tiếp cận này
đã đơn giản hóa việc thiết kế hệ thống, đặc biệt là A–box, vì nó không cần phải lưu trữ
và bảo quản thông tin về các hành động trước đây. Hệ stateless thường có hiệu năng cao
đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó
với cơ sở dữ liệu, không cần phải xử lý thêm gì nữa.
Tuy nhiên, hệ stateless cũng có nhiều giới hạn. Trước tiên là nó không có khả năng phát
hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau, vì hệ này chỉ
xử lý từng hành động một và không lưu chúng lại. Còn nếu ta đưa dấu hiệu về các hành
động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi, thì có thể tạo ra số lượng lớn
các cảnh báo nhầm, vì hành động đó có thể là một hành động thông thường, phải nằm
trong chuỗi các hành động khác mới có khả năng xâm nhập. Điều này ngược với lợi thế
chính của hệ misuse–based IDS.
Hơn nữa, hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng
cảnh báo lớn. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra
chuỗi các sự kiện được mô tả là có ý đồ xấu, gây nên “alert storm” làm tê liệt IDS và
che dấu ý đồ tấn công thực.
Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ. Vì thế, tác động của các
sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. Trong khi kiểu tiếp cận
này làm tăng độ phức tạp cho hệ thống, đặc biệt là A–box, nó cho thấy lợi thế rõ rệt.
Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước, hơn
nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một
kiểu tấn công sẽ khó khăn hơn. Tuy nhiên, hệ thống này dễ bị tấn công bằng kiểu tấn
công trạng thái, khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn, làm
giảm hiệu năng của hệ thống.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 41


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ
Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái
(state transition), trong đó state là trạng thái tạm thời của hệ thống, thể hiện giá trị vùng
nhớ của hệ. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an
toàn ban đầu sang trạng thái có hại cuối cùng, thông qua các trạng thái trung gian. Kỹ
thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. IDS
sẽ tìm kiếm sự biến đổi đó, vì thế hệ này thuộc dạng stateful. Mô hình chuyển đổi trạng
thái này có khả năng diễn tả rất tốt các dạng tấn công, kể cả việc mô tả bằng đồ họa.
Trong thực tế, các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình
chuyển đổi trạng thái. Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo, vì toàn bộ
chuỗi hành động gây cảnh báo có thể được cung cấp. Hơn nữa, nó cho phép triển khai
phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng, điều này hiệu quả
hơn là chỉ phát hiện ra cuộc tấn công.
Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán
cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc.
2. Anomaly – based system
Anomaly–based system dựa trên giả thiết là những hành động không bình thường là có
ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống
rồi mới xác định các hành động không bình thường (như những hành động không phù
hợp với mẫu hành động đã cho).

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 42


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Statistically Anomalous ?
Audit Data System Profile Attack

Anomaly-based IDS
Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công chưa biết
trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung
về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh
báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một
vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng
giới hạn các cảnh báo nhầm đó.
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa
dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của
các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường
nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường.
Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và
có thể không bị phát hiện. Vì thế ta có những nghiên cứu về các hệ anomaly – based
IDS chuyên sâu và có thể ứng dụng được vào việc phát hiện xâm nhập trái phép trong
hệ IDS.
III.Phân loại các dấu hiệu
1.Phát hiện dấu hiệu không bình thường
Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông
thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm
kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống người
dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không
đơn giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). Để phân
loại các hành động, IDS phải lợi dụng phương pháp phát hiện dị thường, đôi khi là hành
vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô tả hành vi bất thường đã biết
(phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản.
2.Các mẫu hành vi thông thường- phát hiện bất thường
Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ
thống. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 43


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ
giữa các profile và nhận ra tấn công có thể.
Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng
ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. Có
một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học”
trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này, nơi mà
các hành vi xâm phạm trước trở thành hành vi thông thường. Một profile không tương
thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. Ngoài ra, còn có
một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống, một nhiệm vụ khó
khăn và tốn thời gian.
Cho một tập các profile hành vi thông thường, mọi thứ không hợp với profile được lưu
sẽ được coi như là một hoạt động nghi ngờ. Do đó, các hệ thống này được đặc trưng bởi
hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là
mới có trong hệ thống), tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về
một số vấn đề.
Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn
công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra không cần
nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS đối với môi
trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả năng phát hiện
sự lạm dụng quyền của người dùng.
Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều. Hiệu suất
hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào
tạo. Do đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không
hợp lý. Các hành vi người dùng có thể thay đổi theo thời gian, do đó cần phải có một sự
nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông thường.Sự cần thiết về đào
tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường
trong giai đoạn đào tạo (lỗi tiêu cực).
3.Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn
công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm
nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao).
Các dấu hiệu hành vi xấu được chia thành hai loại:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 44


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe
dọa về bảo mật. Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc thời
gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.
 Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm
kiếm các hoạt động nghi ngờ.
Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. Do đó, độ chính
xác của chúng rất cao (số báo cảnh sai thấp). Tuy nhiên chúng không thực hiện một
cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới.
Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:
 Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ
hổng trong các gói IP, TCP, UDP hoặc ICMP. Với kiểm tra đơn giản về tập các
cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ, gói nào
không. Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. Tương tự, một
số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ.
Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều
công cụ IDS.
 Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các
lỗ hổng chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã
được thành lập. Để phát hiện có hiệu quả các tấn công như vậy, IDS phải được
bổ sung nhiều giao thức lớp ứng dụng.
Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai
thấp, thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công, dễ dàng bổ sung
và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu.
Một số nhược điểm:
 Khó khăn trong việc nâng cấp các kiểu tấn công mới.
 Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. Phải nâng
cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó.
 Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các
lỗ hổng bảo mật, đó là một quá trình tốn kém thời gian.
 Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDS dựa
trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 45


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

nghiêm ngặt của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sử
dụng…)
 Chúng dường như khó quản lý các tấn công bên trong. Điển hình, sự lạm dụng
quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm
(vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công).
 Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu
cho hai lý do. Trước tiên, nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan
đến tấn công đã biết và để gán tên đối với một tấn công. Thứ hai, cơ sở dữ liệu
dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn
công mới phát hiện).
4.Tương quan các mẫu tham số
Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháp trước. Nó được
sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ thống khác nhau và
các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Thông tin đạt được
trong cách này có một môi trường cụ thể không thay đổi. Phương pháp này liên quan
đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề cơ
bản cho việc phát hiện dấu hiệu bất thường. Nó có thể được xem như trường hợp đặc
biệt của phương pháp Profile thông thường. Sự khác nhau ở đây nằm ở chỗ trong thực
tế, một profile là một phần hiểu biết của con người.
Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công
không biết. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối
với chính hoạt động đó. Nó kế thừa những nhược điểm trong thực tế là con người chỉ
hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa là các tấn công nào
đó có thể vượt qua mà không bị phát hiện.
III.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS
1. Denial of Service attack (Tấn công từ chối dịch vụ)
Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến full-blown
packet storm, Denial of service (DoS) attack có mục đích chung là đóng băng hay chặn
đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận và
không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và
ứng dụng.
 Network flooding bao gồm SYN flood, Ping flood hay multi echo request,…

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 46


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các
kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá
tải hệ thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác
thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn
công được lập trình trước.
 Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ
thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang
web,… Ví dụ như một email rất dài hay một số lượng lớn email, hay một số
lượng lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng
đó.
Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin
không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn
công dạng gói tin.
2. Scanning và Probe (Quét và thăm dò)
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu. Tuy
các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng chúng có
thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và thăm dò bao gồm
SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon.
Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các
cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Vì vậy các
công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập.
Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiểm
trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp này
để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại. Host-based IDS cũng
có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa
trên mạng.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 47


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Chính sách bảo mật theo chiều sâu


3. Password attack (Tấn công vào mật mã)
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu dễ nhận thấy
nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhất cho kẻ tấn công
có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. Đoán hay bẻ khóa
mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để
mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn công cần truy nhập tới mật mã đã
được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán
nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ
máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa
(trong từ điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị.
Hiện nay, Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về
và sử dụng dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích
tốt như tìm lại mật mã, hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội
phạm…
 Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0),
gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngoài ra
không thể không kể tới các phương thức tấn công vào yếu tố con người như nhìn
trộm, dùng vũ lực ép buộc,…

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 48


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Dự đoán và bẻ khóa ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ
thông dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài
khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute
force, đoán mật mã đã mã hóa từ các từ trong từ điển, ta có một số công cụ như
LOPHT Crack, pwldump,…
Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố gắng
đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có
hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy
các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc
phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật
mã.
4. Privilege-grabbing (Chiếm đặc quyền)
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập.
Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều này
nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là
“Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên
Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng
để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình
hệ điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có
quyền truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm
đặc quyền:
 Đoán hay bẻ khóa của root hay administrator
 Gây tràn bộ đệm
 Khai thác Windows NT registry
 Truy nhập và khai thác console đặc quyền
 Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.
Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi
đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ.
Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột
nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS có
thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 49


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based
IDS nhằm ngăn chặn việc tấn công xảy ra.

Sensor IDS nhận dữ liệu về cuộc tấn công


5. Hostile code insertion (Cài đặt mã nguy hiểm)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy
trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép
tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:
 Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động
tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file
hệ thống, file của ứng dụng hay dữ liệu. Virus thường được xác định nhờ vào
những hành động có hại của chúng, có thể được kích hoạt dựa trên sự kiện, ngày,

 Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số
hành động tự động, thường có hại, nhưng không có mục đích nhân bản. Thường
thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta
muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến
hỏng file hay hệ thống.
 Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương
trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ
thống trong tương lai (như “msgina.dll” trên Windows NT).
 Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay
ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có
vẻ như thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động
nguy hiểm như tải file lên web site của kẻ tấn công.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 50


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn
mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để
giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể đảm
bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết hợp
với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví dụ
như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor.
Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục
đích kiểm tra tính toàn vẹn.
6. Cyber vandalism (Hành động phá hoại trên máy móc)
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động và
chương trình hệ điều hành, format ổ đĩa.
Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn thận
có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như mọi
thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang
web nằm trên đó. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web,
Host-based IDS còn có thể thực hiện các hành động đối phó, là những hành động được
Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn
công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều
hành, ứng dụng cũng như xóa file và thay đổi trang web.
7. Proprietary data theft (Ăn trộm dữ liệu quan trọng)
Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra ngay
trong tổ chức đó, số các cuộc tấn công từ bên ngoài đã liên tục tăng trong một vài năm
qua. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải
xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan
trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng.
Giải pháp của IDS: Mô hình Host-based IDS thực hiện việc quản lý các dữ liệu quan
trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp IDS
có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi biên
bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp đó,
Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Còn
Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan
trọng và xác định việc truyền thông có chứa key word. Trong một số trường hợp rất khó

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 51


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDS trên host đó có
thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền
thông.
8. Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)
Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh tế
trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số
credit card, can thiệp vào tài khoản nhà băng, và thao túng chương trình kiểm tra viết
(check writing). Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay
chủ đích) cho các công việc đi ngược lại với mục đích của tổ chức.
Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các URL, tuy
nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể hoạt
động hiệu quả hơn, có thể duy trì một danh sách URL động và chính sách lạm dụng dựa
trên USERID. Host-based IDS có thể thực thi một chính sách do công ty đặt ra, các truy
nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua host-based IDS
cũng như network-based IDS. Bất cứ thay đổi có thể ngay lâp tức được ghi trong biên
bản hệ thống, agent có thể dễ dàng theo dõi các hành động đó.

HIDS rất có hiệu quả đối với Internal threat


9. Audit trail tampering (Can thiệp vào biên bản)
Như đã nói đến ở trên, hầu hết các thông tin tạo nên từ các hành động của người dùng
được ghi trong các audit trail riêng của hệ thống của doanh nghiệp. Can thiệp vào biên
bản là cách được ưa thích để loại bỏ hay che dấu vết. Dưới đây là các phương thức
hacker thường dùng để tấn công vào audit trail và che dấu vết:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 52


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Audit Deletion : xóa biên bản, khi đã vào được hệ thống.


 Deactivation : ngừng tiến trình ghi sự kiện lên audit trail.
 Modification : sửa sự kiện mà nó ghi nhận được trước khi thoát khỏi hệ thống.
 Flooding : tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn công.
Giải pháp của IDS: Host-based IDS agent có thể quản lý việc can thiệp vào biên bản
(xóa, ngừng hay sửa đổi) và thực hiện các hành động phù hợp. Network-based IDS có
thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi.
10. Security infrastructure attack (Tấn công hạ tầng bảo mật)
Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật,
như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay
đổi quyền của file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền
truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng. Cuộc tấn công
tạo ra thay đổi bằng cách truy nhập trái phép tới chức năng quản trị, tìm console quản
trị không được chú ý, hay tác động lên người quản trị để thực hiện hành động nào đó.
Trong các trường hợp đó rất khó có thể phân biệt giữa một hành động tấn công và một
hành động của người quản trị mạng.
Giải pháp của IDS: Các hành động quản trị mạng thường là đăng nhập vào audit trail
trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX. Host-
based IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như đưa
thêm tài khoản có đặc quyền, hay router và firewall bị thay đổi một cách đáng nghi.
Còn network-based IDS có thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 53


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Chương III : Thực Nghiệm


I.Giới thiệu về Snort IDS
1.Giới thiệu
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí. NIDS
là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để quét dữ liệu di
chuyển trên mạng. Cũng có các hệ thống phát hiện xâm nhập host-based, được cài đặt
trên một ost cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó. Mặc dù tất cả
các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ
thống tốt nhất hiện nay.
Dữ liệu được thu thập và phân tích bởi Snort. Sau đó, Snort lưu trữ dữ liệu trong cơ sở
dữ liệu MySQL bằng cách dùng output plug-in. Web server Apache với ACID, PHP,
thư viện GD và PHPLOT sẽ biểu diễn dữ liệu này trên trình duyệt khi một người dùng
kết nối đếnserver.
Người dùng có tạo nhiều kiểu truy vấn khác nhau để phân tích dữ liệu. Snort chủ yếu là
một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất
thường trong các header của giao thức.
Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người
quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong
các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort đọc những luật
này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ
liệu. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh
tế, vì bạn càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ
liệu trong thực tế. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các
hành động xâm nhập và bạn cũng có thể thêm vào các luật của chính bạn. Bạn cũng có
thể xóa một vài luật đã được tạo trước để tránh việc báo động sai.
2.Các thành phần của Snort:
Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau để
phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi.
Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:
 Packet Decoder: Bộ giải mã gói

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 54


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

 Preprocessor: Bộ tiền xử lý.


 Dectection Engine: Bộ máy phát hiện.
 Logging và Alerting System: Hệ thông ghi nhận và cảnh báo.
 Output Modules: Các Modules xuất

Packet Decoder (Bộ phận giải mã gói)


Packet decoder lấy những gói từ những loại khác nhau của giao diện mạng và
chuẩn bị đưa chúng vào preprocessor hoặc gửi nó qua detection engine.
Preprocessor (Bộ phận xử lí trước)
Preprocessors là những thành phần hay những plug-in được sử dụng cùng với
Snort để sắp xếp và thay đổi những gói dữ liệu trước khi detection engine thực hiện
công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm. Một vài preprocessor còn có
thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo.
Preprocessor rất quan trọng đối với IDS nhằm chuẩn bị những gói dữ liệu để phân
tích cho việc thiết lập rule trong detection engine. Hacker sử dụng những công nghệ
khác nhau nhằm đánh lừa một IDS bằng nhiều cách khác nhau. Cho ví dụ, bạn có
thể tạo một rule để tìm một dấu hiệu “script/iiadmin” trong gói HTTP. Nếu bạn so
khớp chính xác chuỗi này, bạn có thể dễ dàng bắt lấy. Cho ví du:
• “script/./iisadmin”
• “script/examples/../iisadmin”
• “script/iisadmin”
Để làm phức tạp trạng thái, hacker cũng có thể chèn vào Uniform Resource
Identifier (URI) ký tự nhị phân hay Unicode mà vẫn hợp quy tắc của một web server.
Chú ý rằng web server thường hiểu tất cả những chuỗi và có thể xử lý chúng chính
xác như mong muốn trong chuỗi “script/iisadmin”. Tuy nhiên IDS vẫn theo dõi so

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 55


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

khớp chính xác, nó không thể phát hiện ra sự tấn công này. Một preprocessor có thể
sắp xếp lại chuỗi đó để nó có thể phát hiện được.
Preprocessor cũng có thể sử dụng cho những gói phân mảnh. Khi một gói dữ
liệu có kích thước lớn truyền vào một host, gói đó thường bị phân mảnh. Cho ví dụ,
kích thước mặc định lớn nhất cho gói dữ liệu trong mạng Ethernet thường là 1500
byte. Giá trị này được điều khiển bởi giá trị MTU (Maximum Transmission Unit) cho
giao diện mạng. Điều này có nghĩa là nếu bạn gửi dữ liệu lớn hơn 1500 byte, nó sẽ cắt
thành nhiều gói, mỗi gói phân mảnh đó có kích thước nhỏ hơn hoặc bằng 1500 byte.
Hệ thống nhận sẽ tái hợp để thành gói dữ liệu nguyên thủy. Trên IDS, trước khi
bạn áp dụng những rule hay tìm một signature, bạn phải tái hợp gói. Cho ví dụ,
phân nửa dấu hiệu có thể cho thấy trong một đoạn này và nửa kia trong đoạn khác. Để
phát hiện chính xác dấu hiệu, bạn phải kết hợp tất cả phân đoạn của mảnh. Hacker sử
dụng sự phân mảnh để đánh bại những hệ thống IDS. Preprocessor thường được dùng
để bảo vệ những loại tấn công này. Preprocessor trong Snort có thể phân mảnh gói, giải
mã HTTP URI, tái hợp luồng TCP, v.v.. Những chức năng này rất quan trọng trong
thành phần IDS.
Dectection Engine (Bộ phận phát hiện):
Detection engine là thành phần quan trọng nhất trong Snort. Nó chịu trách
nhiệm phát hiện nếu có hành vi xâm nhập trong một gói. Detection engine tận dụng
những rule Snort để làm việc này. Những rule được đọc trong cấu trúc dữ liệu bên
trong hay buộc chặt chúng vào nơi mà chúng sẽ so khớp với tất cả các gói. Nếu một
gói nào đó khớp với rule, hành động thích hợp sẽ sinh ra, chẳng hạn gói đó sẽ bị
hủy. Những hành động đó có thể là ghi gói hay sinh cảnh báo.
Detection engine là một phần tiêu chuẩn thời gian (time-critical) của Snort. Phụ
thuộc vào sức khỏe của hệ thống bạn và có bao nhiêu rule được định nghĩa, nó có thể
tiêu tốn bao nhiêu thời gian cho công việc đáp ứng các gói này. Nếu lưu lượng trên hệ
thống mạng của bạn là khá cao khi Snort làm việc trong chế độ NIDS, bạn có thể
hủy những gói. Sự vận hành của Detection engine phụ thuộc vào các yếu tố sau:
• Số rule trên đó.
• Sức mạnh của hệ thống trên đó có Snort đang chạy.
• Thông lượng bên trong đó.
• Lưu lượng trên mạng
Khi thiết kế một NIDS, bạn phải giữ tất cả hồ sơ kỹ thuật trong đó.
Nên nhớ rằng hệ thống phát hiện có thể khảo sát tỉ mỉ và áp dụng rule trên nhiều
phần của gói dữ liệu. Những phần này có thể là:
• IP header của gói.
• Header lớp transport. Header gồm: TCP, UDP, và những header lớp
transport khác. Nó cũng có thể làm việc trên ICMP header.
• Header lớp application. Nó gồm có: DNS header, FTP header, SNMP

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 56


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

header, SMTP header. Bạn có thể phải sử dụng nhiều phương pháp trực tiếp tại
header lớp application, chẳng hạn như tìm kiếm offset của dữ liệu.
• Payload của dữ liệu. Điều này giúp bạn tạo ra một rule dùng cho
detection engine để tìm một chuỗi bên trong dữ liệu.
Detection engine làm việc khác nhau trong mỗi phiên bản Snort khác nhau. Trong
tất cả phiên bản Snort 1.x, detection engine ngừng xử lý trên gói đó khi một rule
được so khớp trên gói đó. Phụ thuộc vào rule, detection engine thực hiện những hành
động thích hợp như ghi log file hay sinh một cảnh báo. Điều này có nghĩa là nếu một
gói khớp với tiêu chuẩn được định nghĩa trong nhiều rule, chỉ rule đầu tiên được áp
dụng vào gói đó mà không tìm kiếm sự so khớp khác. Đây là một vấn đề. Một rule
thiếu trọn vẹn sẽ sinh ra một cảnh báo không trọn vẹn, thâm chí nếu một rule khá đầy
đủ (tương ứng với một cảnh báo tốt) có thể nằm sau rule trước nó. Vấn đề này đã được
sửa trong Snort phiên bản 2, tất cả các rule đều được so khớp vào một gói trước khi
sinh một cảnh báo. Sau khi so khớp tất cả các rule, rule nào trọn vẹn nhất sẽ được chọn
để sinh cảnh báo.
Detection engine trong Snort 2.0 đã được làm lại một cách hoàn chỉnh để nó so
sánh tốt hơn, phát hiện sớm hơn so với các phiên bản trước.
Logging và Alerting System (Hệ thống ghi và cảnh báo) :
Phụ thuộc vào detection engine tìm trong gói, gói có thể được dùng để ghi hành
động hay sinh cảnh báo. Việc ghi lưu trong những text file đơn giản, loại file tcpdump
hay những hình thức ghi khác. Mặc định tất cả những log file được lưu trong
/snort/log/. Bạn có thể sử dụng dòng lệnh “–l” để thay đổi vị trí sinh log file hay cảnh
báo. Có nhiều lựa chọn dòng lệnh sẽ được thảo luận trong phần sau và chi tiết thông
tin về cách ghi log file hay cảnh báo.
Output Modules (Bộ phận đầu ra) :
Output modules hay plug-in thực hiện những hoạt động khác nhau phụ thuộc bạn
muốn lưu kết quả sinh ra bởi logging và cảnh báo thế nào. Về cơ bản, những
modules này điều khiển loại kết quả sinh ra bởi hệ thống logging và cảnh báo. Phụ
thuộc vào sự cấu hình, Output modules có thể làm những việc sau:
• Đơn giản chỉ ghi vào snort/log/ hay những thư mục khác
• Gửi SNMP traps
• Gửi thông điệp đến syslog.
• Ghi vào cơ sở dữ liệu như MySQL hay Oracle.
• Sinh ra dẫn xuất eXtensible Markup Language (XML)
• Bổ sung cấu hình trên router và firewall.
• Gửi thông điệp Server Message Block (SMB) đến hệ thống Microsoft
Window. Những công cụ khác cũng có thể gửi cảnh báo trong những định dạng khác
như e-mail hay qua giao diện web.
Bảng sau đây cho ta thấy những thành phần khác nhau của một IDS:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 57


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Tên Mô tả
Packet Decoder Chuẩn bị gói cho việc xử lý
Preprocessor hay Input plugin Dùng để bình thường hoá tiêu đề giao
thức, phát hiện sự bất thường, tái hợp
gói và tái hợp luồng TCP
Detection Engine Áp dụng rule lên gói
Logging and Alerting System Sinh thông điệp cảnh báo và ghi lại log
Output Modules Xử lý cảnh báo, ghi và sinh kết quả
cuối cùng.

3.Tập luật (rulesets) trong Snort :


Giống như virus, hầu hết hành động xâm nhập có vài loại signature. Thông tin về
những signature này dùng để tạo Snort rules. bạn đã phân tích một số kỹ thuật tấn
công DoS/DDoS để tìm ra những cơ chế hoạt động và thông tin về những công cụ
và công nghệ của họ. Hơn nữa, có những lổi cơ sở dữ liệu khiến cho những intruder
muốn khai thác. Có nhiều cuộc tấn công được biết đến cũng sử dụng signature để tìm
một ai đó cố gắng khai thác chúng. Những signature này có thể hiển thị trong phần
header (tiêu đề) của gói dữ liệu hoặc trong payload. Hệ thống phát hiện Snort dựa
trên rules. Những rule này lấy cơ sở từ dấu hiệu kẻ xâm nhập (signature). Snort rules
có thể được sử dụng để kiểm tra những phần khác nhau của gói dữ liệu. Snort 1.x có
thể phân tích ở những header ở lớp 3 và 4 nhưng không thể phân tích ở giao thức lớp
ứng dụng. Snort phiên bản 2.x có hỗ trợ phần header lớp ứng dụng. Những rule được
áp dụng trong một kiểu nào đó đến tất cả các gói phụ thuộc vào loại đó.
Một rule có thể sử dụng để phát ra một thông điệp cảnh báo, ghi một thông điệp, hay,
trong những thuật ngữ của Snort, pass gói dữ liệu (không làm gì cả). Snort rules
được viết theo cú pháp dễ hiểu nhất. Hầu hết những rules được viết trên một dòng
đơn. Tuy nhiên bạn cũng có thể mở rộng trên nhiều dòng bằng cách dùng một ký tự
“\” vào cuối dòng. Rules thường đặt trong một file cấu hình, chẳng hạn như là
snort.conf. Bạn cũng có thể sử dụng nhiều file bằng cách gôm chúng trong một file
cấu hình chính.
Trong chương này cung cấp thông tin về những loại rule khác nhau cũng như cấu
trúc cơ bản của rule. Bạn sẽ tìm thấy nhiều ví dụ của những rule chung cho hành
vi phát hiện xâm nhập trong chương sau.
1.Cấu trúc của một rule:
Tất cả các rule đều có 2 phần logic: rule header và rule options.

Rule Header Rule Options

Cấu trúc Rule


Rule header chứa thông tin về hoạt động mà rule để lấy. Nó cũng chứa tiêu chuẩn
cho việc so sánh một luật dựa vào gói dữ liệu. Rule option thường chứa một thông
điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để phát sinh cảnh báo.
Rule option cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu.
Một rule có thể phát hiện một loại hay nhiều loại hành vi xâm nhập. Rule “thông
minh” là rule có thể áp dụng lên nhiều dấu hiệu xâm nhập.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 58


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Cấu trúc chung của rule header như sau:

Action Protocol Address Port Derection Address Port

Rule Header
Action dùng để xác định loại hành động mà nó lấy về khi tiêu chuẩn gặp được và
một rule được so sánh chính xác một gói dữ liệu. Những hoạt động điển hình là
sinh ra một cảnh báo hoặc ghi thông điệp hoặc diện chứng cho rule khác.
Protocol dùng để áp dụng rule lên gói chỉ với một giao thức riêng. Đây là tiêu
chuẩn đầu tiên giám sát trong rule. Bạn cũng có thể sử dụng những thành phần khác
để ngăn chặn những địa chỉ từ một mạng đầy đủ. Chú ý rằng có 2 trường địa
chỉ trong rule. Địa chỉ nguồn và đích được xác định dựa trên trên trường
direction. Cho một ví dụ, nếu trường direction là “”, địa chỉ phía bên trái là nguồn,
địa chỉ bên phải là đích.
Trong giao thức TCP/UDP, port xác định cổng nguồn và đích của gói khi rule áp
dụng lên đó. Trong trường hợp những giao thức lớp network như IP và ICMP,
port numbers không có ý nghĩa.
Cho ví dụ, rule sau đây sẽ sinh ra cảnh báo khi nó phát hiện gói ping ICMP (ICMP
ECHO REQUEST) với TTL bằng 100:
alert icmp any any -> any any (msg: "Ping with TTL=100"; \
ttl: 100;)
Phần nằm trước dấu ngoặc đơn gọi là rule header. Phần trong dấu ngoặc đơn là rule
option. Header chứa những phần sau:
 Một rule action (hành động của luật). Trong rule trên, action là “alert”, có
nghĩa là một cảnh báo sẽ sinh ra khi điều kiện bắt gặp. Nhớ rằng những gói được
ghi bằng mặc định khi cảnh báo phát ra. Phụ thuộc vào trường action, rule option có
thể chứa tiêu chuẩn cho rule.
 Protocol (giao thức). Ở đây là ICMP, nghĩa là rule chỉ áp dụng lên tất cả
gói ICMP. Trong Snort detection engine, nếu giao thức của gói không phải
ICMP, rule sẽ không làm gì trên gói đó để tiết kiệm thời gian xử lý của CPU. Thành
phần protocol là rất quan trọng khi bạn muốn áp dụng Snort rule chỉ trên những gói
của một loại riêng biệt.
 Địa chỉ nguồn và cổng nguồn. Trong ví dụ này cả hai đều là “any”, có
nghĩa là rule sẽ áp dụng lên tất cả các gói đến từ nhiều nguồn. Dĩ nhiên port number
sẽ không áp dụng lên gói ICMP. Port number chỉ thích hợp trong trường hợp
protocol là TCP hay UDP.
 Direction. Trong trường hợp này, nó là ký hiệu  từ trái sang phải. Nói lên địa
chỉ và port number bên trái dấu  là nguồn còn bên phải là đích. Điều đó
cũng có nghĩa rằng rule sẽ áp dụng lên gói đi từ nguồn đến đích. Bạn cũng có thể
dùng dấu  để định nghĩa địa chỉ nguồn/đích cho gói. Ký tự <> cũng có thể sử dụng
để áp dụng rule lên gói đi từ 2 bên.
 Địa chỉ đích là cổng đích. Trong ví dụ này cả hai đều là “any”, có nghĩa
là rule sẽ áp dụng lên tất cả các gói không quan tâm đến địa chỉ đích. Direction
trong rule không đóng vai trò gí cả bởi vì rule được áp dụng lên tất cả các gói ICMP di

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 59


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

chuyển cả hai bên, do đã sử dụng từ khóa “any” trong cả hai thành phần địa chỉ
nguồn và đích.

Rule Option:
Rule option theo sau rule header và được đặt trong cặp dấu ngoặc đơn. Có thể
một lựa chọn hay nhiều lựa chọn truyền vào cùng dấu. Nếu bạn sử dụng nhiều
lựa chọn, dạng lựa chọn này là AND. Hành động trong rule header chỉ
được gọi khi tất cả những tiêu chuẩn trong lựa chọn là đúng. Bạn đã sử dụng
option như msg và ttl trong ví dụ trước rồi đó. Tất cả những lựa chọn được định
nghĩa bởi từ khóa. Những Rule option chứa các đối số. Thường thì những lựa
chọn có 2 phần: một từ khóa và một đối số. Những đối số truyền vào từ lựa chọn
từ khóa bằng một dấu “:”. Chẳng hạn như:
msg: "Detected confidential";
Lựa chọn msg là từ khóa và “Detected confidential” là đối số cho từ khóa này.
Sau đây là những từ khóa thông dụng . Nó hoạt động trên những giao thức
riêng, cho nên có ý nghĩa khác nhau đi theo giao thức.
Về nội dung (lớp application):
Từ khóa content:
Một chức năng quan trọng của Snort, nó có khả năng tìm mẫu dữ liệu bên trong gói.
Mẫu này có thể hiển thị ở dạng chuỗi ASCII hay nhị phân trong hình thức mã hexa.
Rule sau đây phát hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát
từ địa chỉ 192.168.1.0. từ khóa GET thường được sử dụng cho nhiều loại
tấn công HTTP; tuy nhiên ở đây rule chỉ giúp cho bạn hiểu như thế nào từ khóa này
làm việc mà thôi:
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \
(content: "GET"; msg: "GET matched";)

Rule dưới đây cũng tương tự nhưng nó liệt kê ở dang hexa:


alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \
(content: "|47 45 54|"; msg: "GET matched";)
Số 47 tương đương mã ASCII là G, 45 = E, 54 = T. Bạn cũng có thể kết hợp dạng
ASCII và nhị phân trong hexa vào một rule. Ký tự hexa nằm trong cặp dấu “||”.
Có 3 từ khóa khác nhau dùng chung với content. Những từ khóa này là tiêu chuẩn
trong khi tìm một mẫu bên trong gói. Đó là:
Offst
Depth
Nocase
Từ khóa offset:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 60


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu của
phần dữ liệu của gói. Dùng một con số làm đối số cho từ khóa này. Ví dụ sau sẽ bắt đầu
tìm từ “HTTP” sau 4 byte kể từ byte đầu tiên trong gói.
alert tcp 192.168.1.0/24 any -> any any \
(content: "HTTP"; offset: 4; msg: "HTTP matched";)

Từ khóa depth định nghĩa điểm để Snort ngừng tìm kiếm mẫu.
Từ khóa depth:
Chỉ định một giới hạn dưới cho việc lấy mẫu. Dùng depth cho phép bạn chỉ định
một khoảng bắt đầu từ byte đầu tiên của gói. Dữ liệu sau khoảng này không lấy mẫu
nữa. Nếu bạn kết hợp offset và depth cùng với content, bạn có thể chỉ ra vùng dữ liệu
mà bạn muốn lấy mẫu. Ví dụ bạn muốn tìm từ “HTTP”, lấy mẫu 4 byte và chỉ xét trong
40 byte đầu tiên:
alert tcp 192.168.1.0/24 any -> any any (content: \
"HTTP"; offset: 4; depth: 40; msg: "HTTP matched";)

Nó rất quan trọng khi bạn muốn giới hạn công việc tìm kiếm trong gói. Cho ví dụ,
thông tin về yêu cầu HTTP GET được tìm thấy từ đầu gói. Không cần phải tìm toàn bộ
gói. Nhiều gói được capture với kích thước rất lớn, nó sẽ tốn nhiều thời gian để tìm
kiếm.
Từ khóa nocase:
Nocase thường kết hợp với content. Nó không có đối số. Nó chỉ giúp tìm mẫu trong
dữ liệu không phân biệt chữ hoa hay thường.
Từ khóa flow:
Flow được sử dụng để áp dụng một rule trên những phiên TCP đến những gói trong
phương hướng riêng. Từ khóa này dùng xác định phương hướng. Những lựa chọn có
thể sử dụng cho từ khóa này xác định phương hướng:

to_client
to_server
from_client
from_server
Những lựa chọn này lần đầu có thể gây cho bạn khó hiểu. Từ “to” mang ý nghĩa là đáp
ứng (response) và “from” mang nghĩa là yêu cầu (request).

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 61


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Những lựa chọn khác dưới đây cũng có thể sử dụng để áp dụng rule vào các trạng thái
khác nhau của kết nối TCP.
Lựa chọn stateless, áp dụng rule mà không cần xem trạng thái của phiên TCP
Lựa chọn established, áp dụng rule mà để xác lập chỉ những phiên TCP
Lựa chọn no_stream, bật những rule để áp dụng vào gói mà không cần xây dựng từ
một luồng.
Lựa chọn stream_only, áp dụng rule chỉ trên những gói đã xây dựng từ một luồng.
Luồng TCP (TCP Stream)được xử lý bởi bộ tiền xử lý stream4 (thảo luận trong
phần sau). Lựa chọn stateless và established liên kết đến trạng thái TCP.
Lựa chọn về IP:
Từ khóa fragbits:
Tiêu đề IP (IP header) chứa 3 cờ bit, dùng để phân mảnh và tái hợp gói IP. Chức
năng các cờ như sau:
Bit dành riêng (RB – Reserved Bit), dùng cho tương lai.
Bit không phân mảnh (DF – Don’t Fragment Bit). Nếu bit này bật, nó cho
biết gói IP sẽ không phân mảnh.
Bit có nhiều phân mảnh (MF – More Fragments Bit).
D tương đương DF. Tương tự, R là RB, M là MF. Bạn cũng có thể dùng dấu “!”
trong rule. Ngoài ra, đi chung với “D,R,M”, ta cũng thường thấy các từ “+,-”. Nó có ý
nghĩa, nếu là “+” tức là gắn thêm bit cờ với những bit khác, nếu là “-” thì bỏ bớt một số
bit.
Từ khóa ipopts:
Trong IPv4, tiêu đề là 20 byte. Bạn có thể thêm những lựa chọn cho tiêu đề IP này.
Chiều dài của phần lựa chọn có thể lên đến 20 byte. Lựa chọn IP dùng cho những mục
đích khác nhau, đó là:
Record Route (rr)
Time Stamps (ts)
Lose Source Routing (lsrr): định tuyến nguồn nới lỏng
Strict Source Routing (ssrr); định tuyến nguồn siết chặc
Trong Snort rule, hầu hết những lựa chọn thường dùng liệt kê trong RFC 791 tại
http://www.rfc-editor.org/rfc/rfc791.txt. Hacker có thể dùng những lựa chọn này để tìm
thông tin về tổ chức mạng. Ví dụ, loose và strict source routing có thể giúp

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 62


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

hacker khám phá ra đườn dẫn của một mạng nào đó tồn tại hay không.
Dùng những Snort rule, bạn có thể phát hiện những nổ lực tìm kiếm của
hacker bằng từ khóa ipopts. Rule sau áp dụng cho Losse Source Routing:
alert ip any any -> any any (ipopts: lsrr; \ msg: "Loose
source routing attempt";)
Bạn cũng có thể dùng từ khóa logto để ghi thông điệp vào một file. Tuy nhiên,
bạn không thể chỉ định nhiều từ khóa lựa chọn IP trong một rule.
Từ khóa ip_proto:
Ip_proto sử dụng IP Proto plug-in để xác định con số giao thức trong IP header. Từ
khóa yêu cầu con số giao thức như một đối số. bạn có thể sử dụng một tên cho giao
thức nếu nó đã định nghĩa trong file /etc/protocols. Xem mẫu file tương tự như sau:
ax.25 93 AX.25 # AX.25 Frames
ipip 94 IPIP # Yet Another IP encapsulation
micp 95 MICP #Mobile Internetworking
Control Pro.
scc-sp 96 SCC-SP # Semaphore Communications
Sec. Pro.
etherip 97 ETHERIP # Ethernet-within-IP
Encapsulation
encap 98 ENCAP # Yet Another IP encapsulation
# 99 # any private encryption
scheme
gmtp 100 GMTP # GMTP
ifmp 101 IFMP # Ipsilon Flow Management
Protocol
pnni 102 PNNI # PNNI over IP
Rule sau kiểm tra nếu giao thức IPIP là đang sử dụng bởi gói dữ liệu:
alert ip any any -> any any (ip_proto: ipip; \msg: "IP-IP
tunneling detected";)

Tiếp theo, ta dùng một số thay vì tên (hiệu quả hơn)


alert ip any any -> any any (ip_proto: 94; \msg: "IP-IP
tunneling detected";)

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 63


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Những giao thức mới nhất có thể tìm thấy từ ICANN tại http://www.icann.org tại
IANA http://iana.org.
Từ khóa id:
Id dùng để so sánh trường ID phân mảnh của tiêu đề IP. Mục đích của nó là phát
hiện ra những tấn công mà có dùng ID cố định trong IP header. Định dạng của nó là:
id: "id_number"

Nếu giá trị của trường id trong IP header bằng 0, nó cho biết đây là phân mảnh cuối
cùng của một gói IP (nếu gói IP đó bị phân mảnh). Giá trị 0 cũng cho biết rằng nó chỉ
phân mảnh nếu gói đó là không phân mảnh. Id trong Snort rule dùng để xác định phân
mảnh cuối cùng trong gói IP.
Từ khóa tos:
Tos dùng để phát hiện ra một giá trị nào đó trong trường TOS (Type of Service) của IP
header. Ví dụ như sau:
tos: 1;
Từ khóa ttl:
Ttl được dùng để phát hiện giá trị Time o Live trong IP header của gói. Từ khóa có
một giá trị cho biết chính xác giá trị TTL.Từ khóa này có thể sử dụng với tất cả loại
giao thức xây dựng trên giao thức IP, bao gồm ICMP, UDP và TCP. Định dạng chung
của nó như sau:
ttl: 100;
Tiện ích traceroute sử dụng TTL để tìm bộ định tuyến kế tiếp trong đường đi của
gói. Traceroute gởi những gói UDP với giá trị TTL tăng dần. Giá trị TTL được giảm
dần tại mỗi hop. Khi nó có giá trị là 0, router sinh ra một gói ICMP đến nguồn. Sử dụng
gói ICMP này, tiện ích traceroute tìm ra địa chỉ IP của router. Ví dụ, để tìm router thứ
5, traceroute sẽ gửi những gói UDP với TTL đặt là 5. Khi gói này đến router thứ 5, nó
có giá trị là 0 và một gói ICMP được sinh ra.
Sử dụng ttl, bạn có thể tìm ra nếu một ai đó cố gắng traceroute qua mạng của bạn.
Từ khóa cần chính xác giá trị TTL để mà so khớp.
Lựa chọn về TCP:
Từ khóa seq:
Seq trong Snort rule kiểm tra sequence number của gói TCP. Đối số này là
một sequence number. Nó có định dạng:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 64


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

seq: "sequence_number";
Sequence number là một phần trong tiêu đề TCP.
Từ khóa flags:
Flags dùng để tìm ra cờ bit được bật trong tiêu đề TCP gói. Mỗi cờ có thể dùng như
một đối số cho flags trong Snort rule. Bạn có thể tham khảo thêm cờ flag trong TCP tại
RFC 793 tại http://www.rfc-editor.org/rfc/rfc793.txt. Cờ bit này được sử dụng
cho nhiều công cụ bảo mật nhằm mục đích khác nhau bao gồm công cụ quét
cổng như nmap. Snort hỗ trợ những loại cờ bit .Bạn cũng có thể dùng dấu “!,+,*”
giống như cờ bit trong tiêu đề IP, tương ứng với phép AND, OR và NOT.

alert tcp any any -> 192.168.1.0/24 any (flags: SF; \


msg: “SYNC-FIN packet detected”;)
Từ khóa ack:
TCP header có một trường Acknowledgemant Number, có chiều dài 32 bit. Trường
cho biết là sequence number tiếp theo của gói TCP bên gởi đang chờ đợi từ bên nhận.
Trường này chỉ có ý nghĩa khi cờ ACK trong TCP header được bật.
Công cụ nmap (http://nmap.org) sử dụng tính năng của gói TCP này đế ping một
máy. Cho ví dụ, nó có thể gửi một gói TCP tới port 80 với cờ ACK bật và sequence
number là 0. Khi gói này không truy cập được do bên nhận có áp dụng rule đối với
TCP, nó sẽ gửi về một gói RST. Khi nmap nhận được gói RST này, nó chỉ ra rằng host
đó vẫn còn hoạt động. Phương pháp này làm việc trên những host mà không đáp ứng
những gói ICMP ECHO REQUEST.
Để phát hiện loại ping TCP này, bạn có thể tạo một rule như sau:
alert tcp any any -> 192.168.1.0/24 any (flags: A; \ack: 0;
msg: "TCP ping detected";)

Rule này cho biết là thông điệp cảnh báo sẽ phát ra khi bạn nhận một gói TCP với cờ
A bật và ACK chứa có giá trị 0. Những cờ TCP được liệt kê trong bảng dưới. Host
đích là 192.168.1.0/24. bạn có thể sử dụng giá trị của ACK trong rule, tuy nhiên
nó thêm vào Snort chỉ phát hiện cho loại tấn công này. Thường thì khi cờ A được bật,
giá trị ACK không còn là 0.
Lựa chọn về ICMP:
Từ khóa icmp_id:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 65


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Lựa chọn icmp_id phát hiện ra ID của gói ICMP. Cú pháp của nó là:
icmp_id: <ICMP_id_number>

Trường nhận dạng một ICMP tìm thấy trong thông điệp ICMP ECHO REQUEST và
ICMP ECHO REPLY (xem RFC 792). Trường này được sử dụng để so sánh ECHO
REQUEST và ECHO REPLY. Thường thì khi bạn sử dụng lệnh ping, cả hai loại ICMP
đó được trao đổi giữa bên gửi và bên nhận. Bên gửi gửi gói ECHO REQUEST và bên
nhận đáp ứng lại gói ECHO REPLY. Trường này có ích cho việc nhận ra cái gói đáp
ứng cho gói yêu cầu. Luật sau kiểm tra nếu ICMP IP trong tiêu đề ICMP bằng 100 thì
sinh một cảnh báo.
alert icmp any any -> any any (icmp_id: 100; \
msg: "ICMP ID=100";)
Từ khóa icmp_seq:
Lựa chọn icmp_seq tương tự như icmp_id. Cú pháp của nó là:
icmp_seq: <ICMP_id_number>
sequence number cũng là một trường trong tiêu đề ICMP và cũng có ích trong việc so
sánh ECHO REQUEST và ICMP ECHO REPLY (xem RFC 792). Từ khóa này cho
phép tìm một sequence number đặc trưng. Tuy nhiên, ít ai mà dùng từ khóa này. Xem
rule sau, nếu sequence number là 100 thì sinh cảnh báo:
alert icmp any any -> any any (icmp_seq: 100; \
msg: "ICMP Sequence=100";)
Từ khóa itype:
Tiêu đề ICMP đến sau tiêu đề IP và chứa một trường type.Từ khóa itype nhằm phát
hiện những tấn công sử dụng trường type trong tiêu đề ICMP. Đối số cho nó là một số
và có định dạng sau:
itype: "ICMP_type_number"
Trường type trong ICMP header của gói dữ liệu được sử dụng để xác định loại gói
ICMP. Danh sách các loại ICMP khác nhau và giá trị của trường type tương ứng:
Ví dụ, nếu bạn muồn sinh một cảnh báo cho loại thông điệp source quench, sử dụng
rule sau:
alert icmp any any -> any any (itype: 4; \msg: "ICMP Source
Quench Message received";)
Từ khóa icode:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 66


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Trong những gói ICMP, ICMP header đến sau IP header. Nó chứa một trường code. Từ
khóa icode dùng để phát hiện trường code trong tiêu đề gói ICMP. Đối số cho
trường này là một số và có định dạng sau:
icode: "ICMP_codee_number"
Trường type trong tiêu đề ICMP cho biết loại thông điệp ICMP. Trường code cho
biết chi tiết loại đó. Ví dụ, nếu trường type có giá trị là 5 thì loại ICMP là
“ICMP redirect”. Có thể có nhiều lý do sinh ra một ICMP redirect. Trường code cho
biết rõ những loại lý do đó:
Nếu trường code bằng 0, gửi gói ICMP đến một mạng.
Nếu trường code bằng 1, gửi gói ICMP đến một host
Nếu trường code bằng 2, gói ICMP là loại của dịch vụ và mạng.
Nếu trường code bằng 3, gói ICMP là loại của dịch vụ và host.
Icode trong Snort rule sử dụng để tìm giá trị trường code trong ICMP header. Rule sau
sinh ra một cảnh báo cho những gói ICMP đến host:
alert icmp any any -> any any (itype: 5; \ icode: 1; msg:
"ICMP ID=100";)
Hai từ khóa itype và icode thường dùng chung với nhau. Nếu icode dùng một mình
thường không đạt được công việc tốt bởi vì những loại ICMP khác cũng có thể có cùng
giá trị code giống nhau.
II.Thực hiện:
1.Mô hình:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 67


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

2.Thực hiện:
2.1.Các phần mềm cần thiết:
Snort
Apache HTTP Server
PHP5
MySQL
2.2.Thực hiện:
Cài Snort:

Cài Apache HTTP Server:

Khởi động Apache HTTP Server:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 68


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Test Apache HTTP Server

Cài PHP5:

Cài MySQL cho Apache HTTP Server:

Cấu hình lại file my.cnf:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 69


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Khởi động lại MySQL:

Cài thư viện cho Apache HTTP Server:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 70


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

CàiPHPMyadmin:

Cấu hình lại file php.ini:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 71


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo cơ sở dữ liệu để lưu file log:

Cài Snort cho MySQL:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 72


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Cấu hình file snort.conf:

Import table cơ sở dữ liệu cho Snort:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 73


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Xem bảng database:

Table của Snort:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 74


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo một rule đơn gian : test.rules

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 75


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Nội dung của rules:

Test rules vừa tạo:

Install rules thành công:

Truy cập trang www.google.com:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 76


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Kết quả:

Test tấn công Dos:


Tool tấn công: DosHTTP:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 77


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Máy tấn công:

Máy cài Snort:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 78


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Kết quả:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 79


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

Chương IV: Kết luận và Hướng phát triển


I.Kết luận:
Cho thấy được sự cần thiết của bảo mật, những hạn chế của các phương pháp
bảo mật hiện tại, đồng thời nói lên sự cần thiết của hệ thống phát hiện xâm nhập trái
phép.
Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất hiện sau này nhưng
hiện đóng vai trò không kém phần quan trọng. IDS giúp chúng ta khám phá, phân tích
một nguy cơ tấn công mới. Từ đó vạch ra phương án phòng chống. Ở một góc độ nào
đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công.
Qua bài báo cáo này:
 Nắm bắt được những khái niệm cơ bản nhất về một hệ thống phát hiện xâm nhập.
 Triển khai được một hệ thống phát hiện xâm nhập phổ biến là Snort
 Nắm bắt được cơ chế viết luật cho Snort và đã viết được một số luật cơ bản.
 Trình bày được một số hình thức xâm nhập tấn công cơ bản và sử dụng Snort để
phát hiện các tấn công đó.
II.Hướng phát triển:
 Sau khi đã nắm cơ bản về Hệ thống phát hiện xâm nhập (IDS), ta có thể thực
hiện nghiên cứu Hệ thống phát hiện và chặn xâm nhập (IPS) và triển khai cho các hệ
thống mạng của các tổ chức.
 Nghiên cứu cách sử dụng Snort để phát hiện các hình thức tấn cống hiện tại và có
thể phát triển lên các phương pháp phòng chống tiên tiến hơn ở một tương lai không xa.
Tài liệu tham khảo
1. Earl Carter, “Introduction to Network Security”, Cisco Secure Intrusion
Detection System, Cisco Press, 2002.
2. “The need for Intrusion Detection System”, “How IDS Addresses common
Threats, Attacks & Vulnerabilities”, Everything you need to know about IDS,
1999 AXENT Technologies, Inc.
3. Christopher Kruegel, Fredrik Valeur, Giovanni Vigna, “Computer security and
Intrusion Detection”, “Alert Correlation”, Intrusion Detection and Correlation:
Challenges and Solutions, Springer, 2005.
4. Q.o.D<QoDwriting@gawab.com>, ”Part I”, A look into IDS/Snort, 2004
5. KnowledgeNet Security+ Student Guide, Module 1–3, knowledgenet.com,
2003
6. www.snort.org.
7. http://searchsecurity.com/

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 80


ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu

8. http://www.ietf.org/rfc/

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 81

You might also like