BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.

HCM KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN NGÀNH

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

GVHD: Lư Huệ Thu SVTH: Ngô Chánh Tính-107102245 Huỳnh Hoàng Tuấn-107102235

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

TPHCM, Tháng 11 Năm 2010 MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
I.

Những mối đe dọa về bảo mật 1. Mối đe dọa không có Cấu Trúc (Untructured threat) 2. Mối đe dọa có Cấu Trúc (Structured threat) 3. Mối đe dọa từ Bên Ngoài (External threat) 4. Mối đe dọa từ Bên Trong (Internal threat)

II. Khái niệm về bảo mật 1. Khái Niệm 2. Kiến Trúc Về Bảo Mật III. Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống A. Các Phương Pháp Xâm Nhập Hệ Thống 1. Phương thức ăn cắp thống tin bằng Packet Sniffers
2.

Phương thức tấn công mật khẩu Password attack

3. Phương thức tấn công bằng Mail Relay 4. Phương thức tấn công hệ thống DNS 5. Phương thức tấn công Man-in-the-middle attack 6. Phương thức tấn công để thăm dò mạng 7. Phương thức tấn công Trust exploitation 8. Phương thức tấn công Port redirection 9. Phương thức tấn công Port redirection 10. B. Phương thức tấn Virus và Trojan Horse

Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập 1. Phương thức ăn cắp thống tin bằng Packet Sniffers 2. Phương thức tấn công mật khẩu Password attack

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 2

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

3. Phương thức tấn công bằng Mail Relay 4. Phương thức tấn công hệ thống DNS 5. Phương thức tấn công Man-in-the-middle attack 6. Phương thức tấn công để thăm dò mạng 7. Phương thức tấn công Trust exploitation 8. Phương thức tấn công Port redirection 9. Phương thức tấn công Port redirection
10. Phương

thức tấn Virus và Trojan Horse

IV. Sự Cần Thiết Của IDS
1.

Sự giới hạn của các biện pháp đối phó

2. Những cố gắng trong việc hạn chế xâm nhập trái phép CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDS

I. Tổng Quan Về IDS A. Giới Thiệu Về IDS 1. 2. 3. Khái niệm “Phát hiện xâm nhập” IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) Phân biệt những hệ thống không phải là IDS

B. Lợi Ích Của IDS: 1. IDS (Intrusion Detection System) 2. IPS (Phát hiện và ngăn chặn xâm nhập) 2.1. Nguyên lý hoạt động của hệ thống 2.2. Các kiểu hệ thống IPS C. Chức Năng của IDS D. Phân Loại
1.

Network-Based IDSs.

2. Lợi thế của Network-Based IDSs. 3. Hạn chế của Network-Based IDSs. 4. Host Based IDS (HIDS).
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 3

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

5. Lợi Thế của HIDS. 6. Hạn chế của HIDS. 7. DIDS. E. Kiến Trúc Của IDS. 1. Các nhiệm vụ thực hiện. 2. Kiến trúc của hệ thống phát hiện xâm nhập IDS. II. Phương Thức Thực Hiện.
1.

Misuse – based system

2. Anomaly – based system III. Phân loại các dấu hiệu 1. 2. 3. 4. 1. 2. 3. 4. 5. 6. 7. 8. 9. Phát hiện dấu hiệu không bình thường Các mẫu hành vi thông thường- phát hiện bất thường Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Tương quan các mẫu tham số

CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS Denial of Service attack (Tấn công từ chối dịch vụ) Scanning và Probe (Quét và thăm dò) Password attack (Tấn công vào mật mã) Privilege-grabbing (Chiếm đặc quyền) Hostile code insertion (Cài đặt mã nguy hiểm) Cyber vandalism (Hành động phá hoại trên máy móc) Proprietary data theft (Ăn trộm dữ liệu quan trọng) Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng) Audit trail tampering (Can thiệp vào biên bản) 10. CHƯƠNG III
I.

Security infrastructure attack (Tấn công hạ tầng bảo mật) THỰC NGHIỆM

Giới thiệu về Snort IDS

1. 2. 3.

Giới Thiệu Các thành phần của Snort Tập luật (rulesets) trong Snort II. Triển Khai IDS

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 4

Việc học tập. dùng sai xuất phát từ trong hệ Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 5 . Mô hình 2. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân. các vụ lạm dụng. các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật.Kết luận II. các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất. kinh doanh.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 1. nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội. Thực hiện CHƯƠNG IV I. vui chơi giải trí. ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy. dùng sai xuất phát từ trong hệ thống mà những phương pháp bảo mật truyền thống không chống được. tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm. mã hóa làm tăng độ an toàn cho việc truyền dữ liệu.Hướng phát triển KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới. những vụ lừa đảo. Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Những điều đó dẫn đến yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống. liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người. Cho đến nay.

I. yêu cầu nhiều trang thiết bị. cũng có thể do nó là những hệ thống lớn. Những trường hợp đó có ảnh hưởng xấu đến hệ thống và hình ảnh của công ty. Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. Nó đã được nghiên cứu. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty. vẫn chưa được ứng dụng vào trong thực tế. nhiều công sức để quản lý bảo dưỡng. phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 6 . Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu. tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại. không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT 1. vì thế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Mối đe dọa không có cấu trúc ( Untructured threat) Công cụ hack và script có rất nhiều trên Internet. Hầu hết các cuộc tấn công đó vì sở thích cá nhân. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn. Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp. nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Từ những vấn đề nêu trên. tốn thời gian đào tạo để sử dụng.

Một số yếu tố thường thấy có thể vì tiền. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. như để lấy được mã nguồn của đối thủ cạnh tranh.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu của hệ thống. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. tức giận hay báo thù. có động cơ và kỹ thuật cao. Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm. cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 7 . 2. Hay trường hợp khác. chỉ vì ai đó có ý định thử nghiệm khả năng. các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Cho dù động cơ là gì. hoạt động chính trị. họ hiểu. thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Mối đe dọa từ bên trong ( Internal threat ) Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các tổ chức tội phạm. 4. Động cơ của các cuộc tấn công này thì có rất nhiều. ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. Không như Script Kiddes. phát triển và sử dụng các kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu. có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. 3. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Các cuộc tấn công này thường có mục đích từ trước. Bằng cách gia tăng hệ thống bảo vệ vành đai. những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ.

 Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. phân tích chính xác các cuộc tấn công. kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. muốn “quay mặt” lại với công ty. mọi chuyện còn lại thường là rất đơn giản. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 8 . Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. II. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng.  Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu truy cập server để quy định cho sự bảo mật bên trong. các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi hiểu sâu các khái niệm về bảo mật. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống.KHÁI NIỆM VỀ BẢO MẬT 1. 2. Khi vành đai của mạng được bảo mật. kẻ tấn công trở thành structured internal threat. như là Internet. Kiến Trúc Về Bảo Mật Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống:  Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống. bảo vệ mạng bên trong khỏi các kết nối bên ngoài. Trong trường hợp đó. Khái Niệm Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 9 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. sửa đổi. 2. cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork. Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Sự thay đổi bao gồm tạo. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống.Các phương pháp xâm nhập hệ thống và phòng chống A. phá hoại hệ thống email khác. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ..Các phương pháp xâm nhập hệ thống: 1. và packet sniffer. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng .o. xóa và xem lại thông điệp đã được truyền. IP spoofing. Tuy nhiên. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute-force attack. và từ đó có thể truy xuất vào các thành phần khác của mạng. password.Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.S vào một mục tiêu nào đó. chương trình Trojan Horse. bao gồm tạm thời và lâu dài. 3.. III. POP3.Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). như hacker lại thường sử dụng brute-force để lấy user account hơn. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password. SMTP..  Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet. FTP.) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username. ghi.

Phương thức tấn công Trust exploitation Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside. Host ở DMZ có thể vào được host ở inside. 7.Phương thức tấn công Port redirection Tấn công này là một loại của tấn công trust exploitation. Điều này có thể thực hiện bởi các công cụ như DNS queries. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng. hay port scan. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Tấn công dạng này được thực hiện nhờ một packet sniffer. một host ở outside có thể truy nhập được một host trên DMZ. Ví dụ. ping sweep. 6. khi một hacker cố gắng chọc thủng một mạng. lợi dụng một host đã đã bị đột nhập đi qua firewall. nhưng không thể vào được host ở inside.Phương thức tấn công để thăm dò mạng Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.Phương thức tấn công hệ thống DNS DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Nếu hacker chọc thủng được host trên DMZ. thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 4. cũng như outside. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 10 . 5.Phương thức tấn công Man-in-the-middle attack Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. 8. Một ví dụ về tấn công này là một người làm việc tại ISP. Khi bên ngoài hệ thống bị xâm hại. các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall. một firewall có 3 inerface. có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng.

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Trojan horse thì hoạt động khác hơn. các kết nối RAS hoặc phát sinh trong WAN.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 9. thông tin đó cũng không có giá trị vì nó đã hết hạn. được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. hay FTP.Phương thức tấn Virus và Trojan Horse Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Trong khi người dùng đang mãi mê chơi game. Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng. Ta có thể cấm packet sniffer bằng một số cách như sau:  Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Virus là một phần mềm có hại. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80.Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. B. mail server bằng TCP port 25.Phương thức ăn cắp thống tin bằng Packet Sniffers Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ. 10. Khi user khác nhận và chơi trò chơi. gởi đến tất cả các địa chỉ mail có trong address book của user đó. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 11 . Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail. Các phương pháp phát hiện và ngăn ngừa xâm nhập: 1. thường là 60 giây. HTTP. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm. thì nó lại tiếp tục làm như vậy.

Vd: nếu toàn bộ hệ thống sử dụng switch ethernet.Phương thức tấn công Man-in-the-middle attack Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 12 . Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó. Cisco dùng giao thức IPSec để mã hoá dữ liệu. Khi đó. serever từ xa thông qua các giao thức không an toàn như FTP.  Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Phương thức tấn công mật khẩu Password attack Phương pháp giảm thiểu tấn công password:  Giới han số lần login sai  Đặt password dài  Cấm truy cập vào các thiết bị.SSH vào quản lý từ xa 3.Phương thức tấn công hệ thống DNS Phương pháp hạn chế:  Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS  Cài đặt hệ thống IDS Host cho hệ thống DNS  Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.  Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng. 5. nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. đặt password cho SMTP. hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Telnet.  Sử dụng gateway SMTP riêng 4. 2. rtelnet… ứng dung SSL. rlogin. Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng.Phương thức tấn công bằng Mail Relay Phương pháp giảm thiểu :  Giới hạn dung lương Mail box  Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server.

Ví dụ ta có thể tắt đi ICMP echo và echo-reply. • NISD: xem xét tất cả các packet trên mạng (collision domain). nó sẽ phát cảnh báo.Phương thức tấn công Port redirection Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. 7. Khi IDS phát hiện thấy traffic giống như một signature nào đó.Phương thức tấn Virus và Trojan Horse Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 13 . có 2 loại IDS: • HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó. và thường xuên phân tích log file  Luôn cập nhật các patch cho OS và các ứng dụng  Dùng IDS.Phương thức tấn công lớp ứng dụng Một số phương cách để hạn chế tấn công lớp ứng dụng:  Lưu lại log file. Các IDS phát hiện các tấn công bằng cách dùng các signature. 8. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.Phương thức tấn công Trust exploitation Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng. 9. nhưng lại khó cho ta khi mạng có sự cố. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.Phương thức tấn công để thăm dò mạng Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Signature của một tấn công là một profile về loại tấn công đó. nó có thể phát cảnh báo. Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công. 10. khi đó có thể chăn được ping sweep. hay cắt session đó. cần phải chẩn đoan lỗi do đâu. 6.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra.

 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall. Các công cụ đó vẫn đang hoạt động có hiệu quả.  Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường.  Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet. SỰ CẦN THIẾT CỦA IDS 1 . Firewall bảo vệ hệ thống Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. và không thể chống lại sự đe dọa từ trong hệ thống. Nhóm mã hóa với việc xác thực khóa công khai Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 14 . Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng có những điểm yếu sau:  Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới. tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao. việc này có thể cho phép việc thăm dò điểm yếu. điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.  Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống. Sự giới hạn của các biện pháp đối phó Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống. IV .  Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống.

sự tin cậy và toàn vẹn dữ liệu. PKI cho phép ứng dụng ngăn cản các hành động có hại. dùng sai hay có ý đồ xấu”. Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin. người gửi và người nhận sự từ chối. tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. khi nền thương nghiệp và truyền thông dựa trên mạng quy mô lớn vẫn còn trong thời kỳ đầu. Những cố gắng trong việc hạn chế xâm nhập trái phép Trong những năm 80. kể cả những hành động của người dùng. không được bảo vệ và quản lý. tuy nhiên hiện tại việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lý do sau:  Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứng chỉ không đồng nhất. các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở nên mở. Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng. 2. một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 15 .  Có quá ít ứng dụng có sử dụng chứng chỉ. PKI có vai trò như khung làm việc chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu. Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có dấu hiệu lạm dụng. Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Tuy nhiên.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu và khóa mật cung cấp cho người dùng.

các tổ chức nhận ra rằng thao tác viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành hệ thống và duy trì đủ hiệu suất. Các công cụ này có thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”. có nhiệm vụ tự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn. Thứ nhất là công cụ đó khá nặng. Với sự tăng trưởng của số người dùng. hệ điều hành. câu hỏi vẫn được đặt ra: “Làm sao có thể biết chúng ta an toàn với sự dùng sai. thao tác trái ngược với chính sách chung. sau đó gửi thông báo về những hành động lệch so với khuôn mẫu đó. Tư tưởng cơ bản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi. Vào năm 1987. Trong khi đó trong thực tế. quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn. ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra. và firewall. Ví dụ như vào năm 1984. Chúng có thể làm được điều đó dựa trên việc tìm khiếm khuyết. cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng. và làm sao để theo dõi và phản ứng khi ta bị tấn công?” Scanner. Do đó. Tuy hệ phương pháp IDS đã phát triển trong suốt 20 năm. và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit trail) với mọi hành động có liên quan đến bảo mật. như router. chúng cung cấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng. network traffic monitor. hầu hết các hệ điều hành. cấu hình ứng dụng. hệ thống Clyde Digital phát triển một sản phẩm là AUDIT. cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ. một dự án được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện đọc audit trail và tạo ra khuôn mẫu những hành động thông thường. Nửa cuối những năm 90 chứng kiến sự mở rộng của các ứng dụng tạo audit trail mới để quản lý. Ngày nay. hầu hết các công ty không thể sử dụng được phương pháp phân tích log này vì hai lý do chính. phụ thuộc vào khả năng hiểu loại tấn công và điểm yếu của người dùng. Tuy nhiên. Trong suốt những năm đầu của thập kỷ 90. cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự kiện có trong audit trail. ứng dụng. Chúng có thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật của Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 16 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu ta an toàn với sự dùng sai. sức người có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn. những hệ thống. các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗ hổng bảo mật trước khi bị tấn công.

hầu hết các scanner chỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ công. Hơn nữa. Nó có thể được sử dụng để xác định hiệu quả thực tế của bảo mật và dự đoán hiện tại cũng như tương lai. nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành. độ dài mật mã. đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt động của con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu công ty như phiên bản của phần mềm. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 17 . scanner và các công cụ thăm dò. Cũng như các công cụ kiểm tra biên bản. server hay ứng dụng mới vào mạng. Ta có một chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó”.… Tuy nhiên. Một lợi ích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệch trong bảo mật và biểu đồ thông tin.

Như đã đề cập ở trên.Tổng quan về IDS A. Khái niệm “Phát hiện xâm nhập” Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn. phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu CHƯƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS I . Tuy nhiên trong thời gian này. các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển 1. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng. các khái niệm IDS vẫn chưa được phổ biến. Hiện tại. hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. tính sẵn sàng. khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson. hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập. một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống. Giới thiệu về IDS Cách đây khoảng 25 năm. phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.  Network IDS hoặc NIDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 18 . tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. một năm sau đó. Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Cho đến tận năm 1996.

 Signature Là những phần mà ta có thể thấy được trong một gói dữ liệu.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Là các hệ thống phát hiện tấn công.  False Alarm Là những thông báo đúng về một dấu giống dấu hiệu xâm nhập nhưng hành động . Signature có thể có mặt trong các phần khác nhau của một gói dữ liệu. Nó được sử dụng để phát hiện ra một hoặc nhiều kiểu tấn công. Cũng tương tự như các sensor trong các tài liệu Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 19 .  Sensor Là những thiết bị mà hệ thống phát hiện xâm nhập chạy trên nó bởi vì nó được sử dụng như các giác quan trên mạng. Khi IDS phát hiện ra kẻ xâm nhập. khi đăng nhập hoặc bằng mail và bằng nhiều cách khác. IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập. Thông thường. Ví dụ ta có thể tìm thấy các tín hiệu trong header IP. nó sẽ thông báo cho người quản trị bảo mật bằng alert. Tốc độ lưu lại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text. header của tầng giao vận (TCP. UDP header) hoặc header tầng ứng dụng.  Host IDS hoặc HIDS Được cài đặt như là một tác nhân trên máy chủ. Alert có thể hiện ngay trên màn hình. Các nhà cung cấp IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị phát hiện ra.  Alert Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp. nó có thể bắt giữ các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín hiệu. những thông tin mà IDS thu được sẽ lưu lại trong file. Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảo mật có thể xem lại.  Log o Thông thường. Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân. Những hệ thống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống để phát hiện những hành động xâm nhập.

hệ thống phát hiện xâm nhập) là một hệ thống giám sát lưu thông mạng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu kỹ thuật khác. các hoạt động khả nghi và cảnh báo cho hệ thống. IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có một router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hay firewall). thì sensor ở đây sẽ bắt các tín hiệu có dấu hiệu của xâm nhập bất hợp pháp. Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 20 . Ta có thể hình dung qua hình vẽ sau: 2.Ngoài ra. Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi điểm kết nối với Internet. nhà quản trị.. IDS (Intrusion Detection System. sensor dùng để bắt tín hiệu âm thanh.IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal.. màu sắc. Ta có thể đặt ở một hoặc nhiều nơi. . external hoặc cả 2). Ví dụ.IDS cũng đảm nhận việc phản ứng lại các lưu thông bất thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng. áp xuất.

.  Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ . hiện tại và tương lai. • Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus. mà để hoàn thiện nó.. 3.. Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:  Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive). các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. trojan horse.theo [Ranum. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành. không phải mọi thứ đều được qui vào mục này. worm. Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. • Tường lửa – firewall Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 21 .  Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin. Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ.  Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công. Với sự phát triển nhanh và mạnh của mạng máy tính. hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện. Phân biệt những hệ thống không phải là IDS Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát hiện xâm nhập.  Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép nào (xâm nhập không bị phát hiện được gọi là false negative). Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng. dịch vụ mạng (các bộ quét bảo mật).Mặc dù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống. 2000] là dưới 1 phút). Theo một cách riêng biệt nào đó.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ.

Với “quyền tối thượng”. phân tích để phát hiện ra các vấn đề liên quan đến an ninh. Thống kê cho thấy trong hệ thống này. IDS (Intrusion Detection System ) Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính. hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.Sự khác nhau giữa IDS và IPS 1. VPN. mật mã như: SSL. các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn. mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. trong đó có rất nhiều cảnh báo là từ những hành động bình thường. Lợi ích của IDS: Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. hầu hết các cảnh báo là cảnh báo sai. vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó. Tuy nhiên. đột nhập vào các hệ thống máy tính. bảo mật. Khi mà số vụ tấn công. mạng ngày càng tăng. Kết quả cuối cùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu • Các hệ thống bảo mật. C. Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công. Kerberos. B. Từ đó. hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ chức. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 22 ... hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. chỉ có một vài hành động là có ý đồ xấu. lợi ích mà nó đem lại là rất lớn.

chúng lưu trữ các Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 23 . modul phản ứng. dịch vụ gì. IPS (phát hiện và ngăn chặn xâm nhập ) 2.2. Ban đầu.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 2. • Module phân tích luồng dữ liệu: Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới. không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Phần lớn hệ thống IPS được đặt ở vành đai mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. nhận dạng ra các hành động không bình thường của mạng. Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh. Các thông tin này được chuyển đến modul phát hiện tấn công. modul phát hiện tấn công. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu. Bộ phân tích đọc thông tin từng trường trong gói tin. đưa ra các thông báo hợp lý.. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác.. chính xác. ngăn chặn thành công và chính sách quản lý mềm dẻo. Tuy nhiên. phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu. đủ khả năng bảo vệ tất cả các thiết bị trong mạng. phân tích được toàn bộ thông lượng. xử lý. phân tích đến từng trường thông tin. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh. xác định chúng thuộc kiểu gói tin nào. tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Tất cả các gói tin qua chúng đều được sao chụp. • Modul phát hiện tấn công: Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả.1 Nguyên ý hoạt động của hệ thống IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công đó. các kiểu tấn công mới. cảm biến tối đa. Có hai phương pháp để phát hiện các cuộc tấn công. xâm nhập là dò sự lạm dụng và dò sự không bình thường.1.

hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. số lượng các tiến trình hoạt động trên CPU. cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng. .) • Modul phản ứng Khi có dấu hiệu của sự tấn công hoặc thâm nhập.Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. hệ thống sẽ chạy ở chế độ làm việc. Khi bắt đầu thiết lập. tấn công. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới. Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng. tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu mô tả sơ lược về các hoạt động bình thường của hệ thống. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây: .. Sau thời gian khởi tạo.Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng. phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. . khắc phục các nhược điểm còn gặp. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn. giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn. tiến hành theo dõi. Các ức ngưỡng về các hoạt động bình thường được đặt ra. quét cổng để thu thập thông tin của các tin tặc.. số lượng một loại gói tin được gửi vượt quá mức. các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập. thì hệ thống có dấu hiệu bị tấn công.Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 24 . Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định. modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng.

nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công. . Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này.a) IPS ngoài luồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu.Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công. Dưới đây là một số kỹ thuật ngǎn chặn: . Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể quản lý bức tường lửa. . b)IPS trong luồng Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 25 . tấn công. Phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS. Với vị trí này.Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường một gói tin đơn. Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ. 2. . IPS có thể kiểm soát luồng dữ liệu vào. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn cônghoạtđộng. phân tích và phát hiện các dấu hiệu của sự xâm nhập. ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công.Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu tới người quản trị.Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệp tin log. Tại modul này.2 Các kiểu hệ thống IPS Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau. một phiên làm việc hoặc một luồng thông tin tấn công. chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng. dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Tuy nhiên phương pháp này có một số nhược điểm. . các đặc điểm và thông tin về chúng.

• Bảo vệ tính bí mật.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng. bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ. nhiệm vụ đã được phân cấp. giữ cho thông tin không bị lộ ra ngoài.Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Vị trí IPS nằm trước bức tường lửa. tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng.  Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. khôi phục. đưa ra những chính sách đối phó. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 26 . bảo đảm sự nhất quán của dữ liệu trong hệ thống. C . Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: • Bảo vệ tính toàn vẹn (integrity) của dữ liệu. Bảo vệ tính khả dụng. • Bảo vệ tính riêng tư. • Cung cấp thông tin về sự xâm nhập. tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. ngăn chặn được sự truy nhập thông tin bất hợp pháp. sửa chữa… Nói tóm lại ta có thể tóm tắt IDS như sau: Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ  Giám sát: lưu lượng mạng và các hoạt động khả nghi.  Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị. vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn. Tuy nhiên.

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.  Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai. D.Network Base IDS (NIDS) Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 27 . 1.  Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công. Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:  Ngăn chặn sự gia tăng của những tấn công  Bổ sung những điểm yếu mà các hệ thống khác chưa làm được  Đánh giá chất lượng của việc thiết kế hệ thống Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài. Phân loại: Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường.  Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.  Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt. nghĩa là đã có sự xâm nhập. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau: Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.  Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường.

"Trong suốt" với người sử dụng lẫn kẻ tấn công . Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không. 2.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) . Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Lợi thế của Network-Based IDSs: . Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính.Độc lập với OS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 28 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Cài đặt và bảo trì đơn giản. không ảnh hưởng tới mạng .Quản lý được cả một network segment (gồm nhiều host) . Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu. . bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.Tránh DOS ảnh hưởng tới một host nào đó. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực.

Host Based IDS (HIDS) Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 29 . Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò.Không thể phân tích các traffic đã được encrypt (vd: SSL. Hạn chế của Network-Based IDSs: .NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn . bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Khi mà mạng phát triển. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn. Khi báo động được phát ra.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 3. hệ thống có thể đã bị tổn hại. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. SSH.Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động.Có thể xảy ra trường hợp báo động giả (false positive). Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. IPSec…) . tức không có intrusion mà NIDS báo là có intrusion. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng.Không cho biết việc attack có thành công hay không. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy.Một trong những hạn chế là giới hạn băng thông. 4. . sắp xếp lại những lưu lượng đó cũng như phân tích chúng. . Nếu có hiện tượng phân mảnh chồng chéo. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh.

Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi. nhưng với một kẻ xâm nhập có hiểu biết. Thêm nữa là. lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Thay vì giám sát hoạt động của một network segment. Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính. HIDS thường được cài đặt trên một máy tính nhất đinh. thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. hay thực hiện từ cổng điều khiển (console). Hệ thống dựa trên máy chủ cũng theo dõi OS. kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. những cuộc gọi hệ thống. hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). HIDS chỉ giám sát các hoạt động trên một máy tính. IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. như các file log và những lưu lượng mạng thu thập được. HIDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 30 . có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.

Hạn chế của HIDS:  Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. bao gồm (not all):  Các tiến trình. bảo trì phần mềm.  HIDS phải được thiết lập trên từng host cần giám sát . 6. chúng không thể phát hiện những tấn công thăm Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 31 . NIDS không có khả năng này. trên UNIX và những hệ điều hành khác. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được.  Đa số chạy trên hệ điều hành Window. 5.  Một vài thông số khác. đồng thời HIDS cũng bị "hạ".  HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.  HIDS cần tài nguyên trên host để hoạt động.  Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.  Các entry của Registry. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.  HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống. và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên. và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp.  HIDS có thể không hiệu quả khi bị DOS.  Có thể phân tích các dữ liệu mã hoá. Netcat…). Tuy nhiên cũng đã có 1 số chạy được Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản.  Mức độ sử dụng CPU.  Khi OS bị "hạ" do tấn công.  Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.Lợi thế của HIDS:  Có khả năng xác đinh user liên quan tới một event.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thường được đặt trên các host xung yếu của tổ chức.

chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Trong một môi trường hỗn tạp. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. DIDS có khả năng xử lý tập trung. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 32 . Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Mỗi sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server để xử lý.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung tâm ISC (Internet Storm Center) của viện SANS. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. 7. giúp cho người quản trị có khả năng theo dõi toàn bộ hệ thống.DIDS DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. Do đó trước khi chọn một hệ thống IDS.

Network-based IDS không có tác động tới mạng hay host. hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS. Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của network-based IDS và trên môi trường chuyển mạch. do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Về khả năng thực thi chính sách bảo mật của nhà quản trị. Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và anomaly-based. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 33 . và ở mạng có mã hóa. cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch. mạng tốc độ cao trên 100Mbps. Do đó. điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý. khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation. Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm. Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood. Hơn nữa.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân tích dữ liệu trong thời gian thực. hệ thống đó sẽ được tập trung vào HIDS. trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động. một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành. nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Như đã nói trên. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch. nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu.

Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND. đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Một ví dụ sử dụng kết hợp NIDS và HIDS. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép. Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây. nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 34 . Giả sử một hacker muốn xâm nhập vào hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. chiếm hết tài nguyên protocol stack và không thể phục vụ được). Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn.

Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm). phân tích được toàn bộ thông lượng. cảm biến tối đa. prevention Simulation Intrustion Monitoring Analysis Intruction detection Notification Respose Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 35 . ngǎn chặn thành công và chính sách quản lý mềm dẻo. Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. E. Kiến trúc của IDS Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu tin credit card thông qua ứng dụng cơ sở dữ liệu. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. đưa ra các thông báo hợp lý. Việc kết hợp host-based và networkbased IDS có thể phát hiện được tất cả các kiểu tấn công trên. Một hệ thống IDS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau: 1. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. chính xác.

3. Giữa các nhiệm vụ IDS khác nhau.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu IDS Tasks Monitoring Notification Protected system Response Additional IDS Infas tructure Sessions Khi một hành động xâm nhập được phát hiện. Một IDS là một thành phần nằm trong chính sách bảo mật. ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session. 2. cơ sở hạ tầng hợp lệ. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. backup hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai. việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. định tuyến các kết nối đến bẫy hệ thống. IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này.…) – theo các chính sách bảo mật của các tổ chức (Hình 2.1b). Kiến trúc của hệ thống phát hiện xâm nhập IDS Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 36 .

ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện. Trong trường hợp nào đó. Điều này cũng liên quan một chút nào đó đến các gói mạng. Bộ tạo sự kiện (hệ điều hành. mạng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection). Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 37 . Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. thành phần phân tích gói tin(Dectection).

Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. gồm có các chế độ truyền thông với module đáp trả. đặc biệt được trang bị sự phát hiện các tấn công phân tán. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. vì vậy có thể phát hiện được các hành động nghi ngờ. Thêm vào đó.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ. IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). profile hành vi thông thường. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn. Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host). các tham số cần thiết (ví dụ: các ngưỡng). gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). Thêm vào đó. Ngoài ra còn có các thành phần: dấu hiệu tấn công. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân. Một phần trong các tác nhân. điều đó có nghĩa là chúng có thể tương Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 38 . tất cả chúng truyền thông với nhau. cơ sở dữ liệu giữ các tham số cấu hình.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu quan với thông tin phân tán.PHƯƠNG THỨC PHÁT HIỆN 1. vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp. +Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát. phân tích. kiểm tra báo cáo. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu. . báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện.Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát . kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm. Misuse – based system Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công. Lợi thế của mô hình Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 39 . Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng.Kiến trúc. kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra. đó là knowledge-based và signature-based. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. Ngoài ra còn có 1 số điểm chú ý sau: . Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. phát hiện. và nếu thấy có sự giống nhau thì tạo ra cảnh báo. đáp trả. II.

 Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 40 . Trong quá trình xử lý.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai. Match ? Audit Data Knowledge Base Attack Knowledge – based IDS Tiếp theo là hệ signature-based. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. nhưng càng khó phát hiện những biến thể của nó. chúng có những điểm yếu sau:  Mô tả về cuộc tấn công thường ở mức độ thấp. Ví dụ quen thuộc về signature-based là Snort.  Dấu hiệu càng cụ thể. nên kích cỡ của nó sẽ trở nên rất lớn. sự kiện được so sánh với các mục trong file dấu hiệu. trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn. Tuy nhiên mô hình này có điểm yếu. thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. Tuy nhiên. nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh báo. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. và thường yêu cầu ít tài nguyên tính toán. khó hiểu. EMERALD và nhiều sản phẩm thương mại khác. cho phản hồi chính xác về cảnh báo. chúng có sự khác biệt cơ bản về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập trái phép). gây khó khăn trong việc phân tích. thì càng tạo ra ít cảnh báo nhầm. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển. là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu.

vì hành động đó có thể là một hành động thông thường. phải nằm trong chuỗi các hành động khác mới có khả năng xâm nhập. Tuy nhiên. làm giảm hiệu năng của hệ thống. Điều này ngược với lợi thế chính của hệ misuse–based IDS. vì hệ này chỉ xử lý từng hành động một và không lưu chúng lại. Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước. nó cho thấy lợi thế rõ rệt. khi việc xử lý sự kiện hiện tại đã hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. đặc biệt là A–box. hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng cảnh báo lớn. Phương pháp tiếp cận này đã đơn giản hóa việc thiết kế hệ thống. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra chuỗi các sự kiện được mô tả là có ý đồ xấu. không cần phải xử lý thêm gì nữa. Hơn nữa. khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn. hệ stateless cũng có nhiều giới hạn. đặc biệt là A–box. tác động của các sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. gây nên “alert storm” làm tê liệt IDS và che dấu ý đồ tấn công thực. Hệ stateless thường có hiệu năng cao đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó với cơ sở dữ liệu. Vì thế. Còn nếu ta đưa dấu hiệu về các hành động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 41 . Trong khi kiểu tiếp cận này làm tăng độ phức tạp cho hệ thống. hơn nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một kiểu tấn công sẽ khó khăn hơn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Stateless IDS coi các sự kiện là độc lập với nhau. vì nó không cần phải lưu trữ và bảo quản thông tin về các hành động trước đây. Trước tiên là nó không có khả năng phát hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau. hệ thống này dễ bị tấn công bằng kiểu tấn công trạng thái. Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ. thì có thể tạo ra số lượng lớn các cảnh báo nhầm. Tuy nhiên.

Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo. Kỹ thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. Mô hình chuyển đổi trạng thái này có khả năng diễn tả rất tốt các dạng tấn công. 2. kể cả việc mô tả bằng đồ họa. Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc. vì thế hệ này thuộc dạng stateful. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 42 . trong đó state là trạng thái tạm thời của hệ thống. IDS sẽ tìm kiếm sự biến đổi đó. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an toàn ban đầu sang trạng thái có hại cuối cùng. thông qua các trạng thái trung gian. thể hiện giá trị vùng nhớ của hệ.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái (state transition). vì toàn bộ chuỗi hành động gây cảnh báo có thể được cung cấp. Hơn nữa. Trong thực tế. các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình chuyển đổi trạng thái. điều này hiệu quả hơn là chỉ phát hiện ra cuộc tấn công. do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho). nó cho phép triển khai phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng. Anomaly – based system Anomaly–based system dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu.

Các mẫu hành vi thông thường. việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện. hầu hết các cảnh báo là cảnh báo sai. Thống kê cho thấy trong hệ thống này. IDS phải lợi dụng phương pháp phát hiện dị thường. Để phân loại các hành động.phát hiện bất thường Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ thống. vì sự không bình thường là đặc tính của môi trường. Mặc dù vậy. trong đó có rất nhiều cảnh báo là từ những hành động bình thường. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 43 .Phân loại các dấu hiệu 1. 2. đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công. Vì thế ta có những nghiên cứu về các hệ anomaly – based IDS chuyên sâu và có thể ứng dụng được vào việc phát hiện xâm nhập trái phép trong hệ IDS. III.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Statistically Anomalous ? Audit Data System Profile Attack Anomaly-based IDS Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên. Cuối cùng. Hơn nữa.… một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản. vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời. chỉ có một vài hành động là có ý đồ xấu. sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó.

Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào tạo. ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu). tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không hợp lý. còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống. Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học” trên chính nó. tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về một số vấn đề. Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách. thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này. 3. Các hành vi người dùng có thể thay đổi theo thời gian. mọi thứ không hợp với profile được lưu sẽ được coi như là một hoạt động nghi ngờ. do đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông thường. một nhiệm vụ khó khăn và tốn thời gian.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể. khả năng phát hiện sự lạm dụng quyền của người dùng. Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều.Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực).Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao). Để hợp lý với các profile sự kiện. Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn công mới khi có sự xâm nhập. nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường. Các dấu hiệu hành vi xấu được chia thành hai loại: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 44 . các hệ thống này được đặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là mới có trong hệ thống). Do đó. Ngoài ra. hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. Do đó. Cho một tập các profile hành vi thông thường.

Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai thấp.  Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ. gói nào không. Với kiểm tra đơn giản về tập các cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ. Phải nâng cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó. Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS. ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập. TCP. IDS dựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 45 . Tương tự.  Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng chương trình.  Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các lỗ hổng bảo mật. Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. chúng được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính. Do đó. Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. một số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ. dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công. IDS phải được bổ sung nhiều giao thức lớp ứng dụng.  Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. đó là một quá trình tốn kém thời gian. UDP hoặc ICMP. Để phát hiện có hiệu quả các tấn công như vậy.  Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy. Một số nhược điểm:  Khó khăn trong việc nâng cấp các kiểu tấn công mới. độ chính xác của chúng rất cao (số báo cảnh sai thấp).ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật. Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:  Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP. Điển hình. dễ dàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu. thuật toán đơn giản. Tuy nhiên chúng không thực hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới.

nền tảng. một profile là một phần hiểu biết của con người. 4. Cuối cùng. cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện). Denial of Service attack (Tấn công từ chối dịch vụ) Cho dù đa dạng về kích cỡ và hình dạng. Denial of service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích. Trước tiên. nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn công đã biết và để gán tên đối với một tấn công. từ subtle malformed packet đến full-blown packet storm. Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi. sự lạm dụng quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công).Tương quan các mẫu tham số Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháp trước. III. Nó có thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. các ứng dụng được sử dụng…)  Chúng dường như khó quản lý các tấn công bên trong. Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. mục tiêu trở nên không thể tiếp cận và không thể trả lời.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu nghiêm ngặt của nó với hệ điều hành (phiên bản. điều đó có nghĩa là các tấn công nào đó có thể vượt qua mà không bị phát hiện.  Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai lý do. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 1.… Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 46 . Sự khác nhau ở đây nằm ở chỗ trong thực tế. Ping flood hay multi echo request. Thứ hai. Nó được sinh ra do nhu cầu thực tế rằng.  Network flooding bao gồm SYN flood. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối với chính hoạt động đó. Điển hình. Nó kế thừa những nhược điểm trong thực tế là con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm. các quản trị viên kiểm tra các hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công không biết. hệ thống và ứng dụng. Đây là một kỹ thuật mạnh.

Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này. Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Phá hoại hệ thống. cơ sở dữ liệu. LAND. Các công cụ quét và thăm dò bao gồm SATAN. 2. Teardrop. Scanning và Probe (Quét và thăm dò) Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu. Asmodeus. gây quá tải hệ thống. email. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 47 . chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước.… Ví dụ như một email rất dài hay một số lượng lớn email. trang web. và AXENT NetRecon. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị. nhưng không hiệu quả bằng giải pháp dựa trên mạng. NETA CyberCop. ISS Internet Scanner. các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại. Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra. tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin. Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. nhưng chúng có thể được sử dụng để gây hại cho hệ thống.  Phá hoại. thiết bị bao gồm Ping of Death. hay một số lượng lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng đó. gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng. Bonk. Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập. Yếu tố “time-to-response” rất quan trọng trong trường hợp này để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại.

Password attack (Tấn công vào mật mã) Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. chương trình có kèm keylogger. dùng vũ lực ép buộc. hay file chứa mật mã đã mã hóa. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm lại mật mã. Với bẻ khóa. kẻ tấn công cần truy nhập tới mật mã đã được mã hóa. ngoài ra không thể không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm. trojan cho người quản trị. hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm…  Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2. bất cứ mã nào nhỏ hơn 6 ký tự. Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. gửi thư.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chính sách bảo mật theo chiều sâu 3.0). mang lại quyền hành và tính linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điển). Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng dễ dàng. Với tốc độ máy tính hiện nay. kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng. tên thông dụng và các phép hoán vị. Kiểu dễ nhận thấy nhất là ăn trộm mật mã. Hiện nay.… Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 48 .

dẫn đến kẻ tấn công có thể có quyền truy cập “superuser”. chúng đã chiếm được hệ thống. đoán mật mã đã mã hóa từ các từ trong từ điển. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên Internet. nó thường gây lỗi hỏng core. do việc đó xảy ra trên thiết bị chủ. sử dụng tài khoản khách rồi chiếm quyền quản trị. Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức. Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống thông thường. ở Windows NT là “Administrator”. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 49 . ở cấp phần mềm. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Dự đoán và bẻ khóa ví dụ như: đoán từ tên. các phương thức tấn công như brute force. scrip hay các lỗi của hệ điều hành và ứng dụng. điều này nghĩa là trở thành “root”.… Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công). Privilege-grabbing (Chiếm đặc quyền) Khi kẻ tấn công đã xâm nhập được vào hệ thống. các thông tin cá nhân. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:  Đoán hay bẻ khóa của root hay administrator  Gây tràn bộ đệm  Khai thác Windows NT registry  Truy nhập và khai thác console đặc quyền  Thăm dò file. chúng sẽ cố chiếm quyền truy nhập. Host-based IDS có thể ngừng hành động này. pwldump. trên NetWare là “Supervisor”. từ các từ thông dụng (có thể dùng khi biết username mà không biết mật mã). Khi thành công. nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy các chương trình bẻ khóa. ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ điều hành đặc quyền. ta có một số công cụ như LOPHT Crack. Trong hệ điều hành UNIX. 4.

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 50 . Hostile code insertion (Cài đặt mã nguy hiểm) Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:  Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động. có hoặc không có hại. file của ứng dụng hay dữ liệu.  Malicious Apple : đây cũng là một loại Trojan. Applet đó có vẻ như thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như tải file lên web site của kẻ tấn công. …  Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động. Sensor IDS nhận dữ liệu về cuộc tấn công 5. chúng thường là Java hay ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. nhưng không có mục đích nhân bản. Mã này có thể lấy trộm dữ liệu.  Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống trong tương lai (như “msgina. có thể được kích hoạt dựa trên sự kiện. nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảy ra. hay tạo backdoor cho lần truy nhập trái phép tiếp theo. xóa file.dll” trên Windows NT). gây từ chối dịch vụ. ngày. nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống. Virus thường được xác định nhờ vào những hành động có hại của chúng. Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng. thường có hại.

6. ví dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor. Giải pháp của IDS: Mô hình Host-based IDS thực hiện việc quản lý các dữ liệu quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm. Ví dụ như mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang web nằm trên đó. Cyber vandalism (Hành động phá hoại trên máy móc) Cyber Vandalism bao gồm: thay đổi trang web. các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu. Trong một số trường hợp IDS có thể dựa vào biên bản của hệ điều hành. Kết hợp với các sự kiện khác. Trong một số trường hợp rất khó Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 51 . ứng dụng cũng như xóa file và thay đổi trang web. nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm. xóa file. Còn Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan trọng và xác định việc truyền thông có chứa key word. Trong các trường hợp đó. applet. Giải pháp của IDS: Đối với giải pháp của Host-based IDS. Ngoài việc tăng cường chính sách bảo mật trong hệ thống. số các cuộc tấn công từ bên ngoài đã liên tục tăng trong một vài năm qua. 7. Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành. phá block khởi động và chương trình hệ điều hành. Proprietary data theft (Ăn trộm dữ liệu quan trọng) Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra ngay trong tổ chức đó. Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Host-based IDS còn có thể thực hiện các hành động đối phó. Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục đích kiểm tra tính toàn vẹn.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn mã nguy hiểm lên gateway. là những hành động được Security Administrator cấu hình. Các file quan trọng được quản lý bằng Host IDS có thể đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. nhưng trong nhiều trường hợp việc ghi biên bản có chứa quá nhiều overhead (như với Winddows NT). format ổ đĩa. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web.

tuy nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể hoạt động hiệu quả hơn. có thể duy trì một danh sách URL động và chính sách lạm dụng dựa trên USERID. Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho các công việc đi ngược lại với mục đích của tổ chức. các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua host-based IDS cũng như network-based IDS. Dưới đây là các phương thức hacker thường dùng để tấn công vào audit trail và che dấu vết: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 52 . HIDS rất có hiệu quả đối với Internal threat 9. lãng phí và lạm dụng) Gian lận.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu có thể phát hiện được một host nghe trộm trên mạng. lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh tế trong thời kỳ hiện nay. Bất cứ thay đổi có thể ngay lâp tức được ghi trong biên bản hệ thống. thì phần mềm IDS trên host đó có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền thông. Host-based IDS có thể thực thi một chính sách do công ty đặt ra. abuse (Gian lận. Fraud. hầu hết các thông tin tạo nên từ các hành động của người dùng được ghi trong các audit trail riêng của hệ thống của doanh nghiệp. Can thiệp vào biên bản là cách được ưa thích để loại bỏ hay che dấu vết. waste. Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các URL. trộm số credit card. Gian lận liên quan đến việc chuyển tiền bất hợp pháp. Audit trail tampering (Can thiệp vào biên bản) Như đã nói đến ở trên. can thiệp vào tài khoản nhà băng. và thao túng chương trình kiểm tra viết (check writing). 8. agent có thể dễ dàng theo dõi các hành động đó.

Security infrastructure attack (Tấn công hạ tầng bảo mật) Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật. hay thay đổi quyền của file.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Audit Deletion : xóa biên bản. ngừng hay sửa đổi) và thực hiện các hành động phù hợp. Giải pháp của IDS: Host-based IDS agent có thể quản lý việc can thiệp vào biên bản (xóa.  Flooding : tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn công. như tạo tường lửa trái phép. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống hay mạng. Cuộc tấn công tạo ra thay đổi bằng cách truy nhập trái phép tới chức năng quản trị. Trong các trường hợp đó rất khó có thể phân biệt giữa một hành động tấn công và một hành động của người quản trị mạng.  Modification : sửa sự kiện mà nó ghi nhận được trước khi thoát khỏi hệ thống. Hostbased IDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành động như đưa thêm tài khoản có đặc quyền. khi đã vào được hệ thống. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 53 . Network-based IDS có thể cung cấp ngữ cảnh cần thiết để phát hiện audit trail đã bị truy nhập hay sửa đổi. 10. Còn network-based IDS có thể cung cấp ngữ cảnh cần thiết để quản lý việc lạm dụng. tìm console quản trị không được chú ý.  Deactivation : ngừng tiến trình ghi sự kiện lên audit trail. Giải pháp của IDS: Các hành động quản trị mạng thường là đăng nhập vào audit trail trên host hay router trên một node lựa chọn trên mạng như SYSLOG trên UNIX. hay tác động lên người quản trị để thực hiện hành động nào đó. chỉnh sửa tài khoản của người dùng hay router. hay router và firewall bị thay đổi một cách đáng nghi.

Bạn cũng có thể xóa một vài luật đã được tạo trước để tránh việc báo động sai. được cài đặt trên một ost cụ thể và chỉ để phát hiện các sự tấn công nhắm đến host đó. PHP. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu. Web server Apache với ACID. 2. có thể được chỉnh sửa bởi người quản trị. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. Các luật được nhóm thành các kiểu. Mặc dù tất cả các phương pháp phát hiện xâm nhập vẫn còn mới nhưng Snort được đánh giá là hệ thống tốt nhất hiện nay.Các thành phần của Snort: Snort được chia thành nhiều thành phần. Snort sử dụng các luật được lưu trữ trong các file text. Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:  Packet Decoder: Bộ giải mã gói Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 54 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chương III : Thực Nghiệm I. Người dùng có tạo nhiều kiểu truy vấn khác nhau để phân tích dữ liệu. Sau đó.Giới thiệu Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí. Dữ liệu được thu thập và phân tích bởi Snort. File cấu hình chính của Snort là snort. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập và bạn cũng có thể thêm vào các luật của chính bạn. Những thành phần này làm việc với nhau để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi. Snort lưu trữ dữ liệu trong cơ sở dữ liệu MySQL bằng cách dùng output plug-in. được sử dụng để quét dữ liệu di chuyển trên mạng. vì bạn càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế.conf. Snort chủ yếu là một IDS dựa trên luật. thư viện GD và PHPLOT sẽ biểu diễn dữ liệu này trên trình duyệt khi một người dùng kết nối đếnserver.Giới thiệu về Snort IDS 1. NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS). tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức. Cũng có các hệ thống phát hiện xâm nhập host-based.

/iisadmin” • “script/iisadmin” Để làm phức tạp trạng thái.  Output Modules: Các Modules xuất Packet Decoder (Bộ phận giải mã gói) Packet decoder lấy những gói từ những loại khác nhau của giao diện mạng và chuẩn bị đưa chúng vào preprocessor hoặc gửi nó qua detection engine.  Dectection Engine: Bộ máy phát hiện. Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo. Cho ví dụ.. Cho ví du: • “script/. Nếu bạn so khớp chính xác chuỗi này. Preprocessor rất quan trọng đối với IDS nhằm chuẩn bị những gói dữ liệu để phân tích cho việc thiết lập rule trong detection engine. Preprocessor (Bộ phận xử lí trước) Preprocessors là những thành phần hay những plug-in được sử dụng cùng với Snort để sắp xếp và thay đổi những gói dữ liệu trước khi detection engine thực hiện công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm.  Logging và Alerting System: Hệ thông ghi nhận và cảnh báo. bạn có thể dễ dàng bắt lấy. Tuy nhiên IDS vẫn theo dõi so Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 55 . Chú ý rằng web server thường hiểu tất cả những chuỗi và có thể xử lý chúng chính xác như mong muốn trong chuỗi “script/iisadmin”. hacker cũng có thể chèn vào Uniform Resource Identifier (URI) ký tự nhị phân hay Unicode mà vẫn hợp quy tắc của một web server. Hacker sử dụng những công nghệ khác nhau nhằm đánh lừa một IDS bằng nhiều cách khác nhau./iisadmin” • “script/examples/. bạn có thể tạo một rule để tìm một dấu hiệu “script/iiadmin” trong gói HTTP.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu  Preprocessor: Bộ tiền xử lý.

chẳng hạn gói đó sẽ bị hủy. Những chức năng này rất quan trọng trong thành phần IDS. Cho ví dụ. và những header lớp transport khác. Một preprocessor có thể sắp xếp lại chuỗi đó để nó có thể phát hiện được. SNMP Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 56 .. Preprocessor trong Snort có thể phân mảnh gói. Cho ví dụ.v. kích thước mặc định lớn nhất cho gói dữ liệu trong mạng Ethernet thường là 1500 byte. nó không thể phát hiện ra sự tấn công này. tái hợp luồng TCP. bạn phải giữ tất cả hồ sơ kỹ thuật trong đó. Nếu một gói nào đó khớp với rule. Để phát hiện chính xác dấu hiệu. • Lưu lượng trên mạng Khi thiết kế một NIDS. Khi một gói dữ liệu có kích thước lớn truyền vào một host. Phụ thuộc vào sức khỏe của hệ thống bạn và có bao nhiêu rule được định nghĩa. Giá trị này được điều khiển bởi giá trị MTU (Maximum Transmission Unit) cho giao diện mạng. FTP header. bạn phải tái hợp gói. Nó gồm có: DNS header. bạn có thể hủy những gói. • Header lớp application. Nó cũng có thể làm việc trên ICMP header. Những rule được đọc trong cấu trúc dữ liệu bên trong hay buộc chặt chúng vào nơi mà chúng sẽ so khớp với tất cả các gói. Nên nhớ rằng hệ thống phát hiện có thể khảo sát tỉ mỉ và áp dụng rule trên nhiều phần của gói dữ liệu. bạn phải kết hợp tất cả phân đoạn của mảnh. Dectection Engine (Bộ phận phát hiện): Detection engine là thành phần quan trọng nhất trong Snort. Detection engine tận dụng những rule Snort để làm việc này. Điều này có nghĩa là nếu bạn gửi dữ liệu lớn hơn 1500 byte. Hacker sử dụng sự phân mảnh để đánh bại những hệ thống IDS. hành động thích hợp sẽ sinh ra. Detection engine là một phần tiêu chuẩn thời gian (time-critical) của Snort. giải mã HTTP URI. Hệ thống nhận sẽ tái hợp để thành gói dữ liệu nguyên thủy. • Sức mạnh của hệ thống trên đó có Snort đang chạy. v. Nếu lưu lượng trên hệ thống mạng của bạn là khá cao khi Snort làm việc trong chế độ NIDS. trước khi bạn áp dụng những rule hay tìm một signature. nó sẽ cắt thành nhiều gói. • Thông lượng bên trong đó. UDP. Những hành động đó có thể là ghi gói hay sinh cảnh báo. Preprocessor thường được dùng để bảo vệ những loại tấn công này. phân nửa dấu hiệu có thể cho thấy trong một đoạn này và nửa kia trong đoạn khác. Preprocessor cũng có thể sử dụng cho những gói phân mảnh. nó có thể tiêu tốn bao nhiêu thời gian cho công việc đáp ứng các gói này. • Header lớp transport. gói đó thường bị phân mảnh. Nó chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói. Header gồm: TCP.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu khớp chính xác. Trên IDS. Những phần này có thể là: • IP header của gói. mỗi gói phân mảnh đó có kích thước nhỏ hơn hoặc bằng 1500 byte. Sự vận hành của Detection engine phụ thuộc vào các yếu tố sau: • Số rule trên đó.

Vấn đề này đã được sửa trong Snort phiên bản 2. tất cả các rule đều được so khớp vào một gói trước khi sinh một cảnh báo. detection engine ngừng xử lý trên gói đó khi một rule được so khớp trên gói đó.x. SMTP header. Detection engine trong Snort 2. thâm chí nếu một rule khá đầy đủ (tương ứng với một cảnh báo tốt) có thể nằm sau rule trước nó. detection engine thực hiện những hành động thích hợp như ghi log file hay sinh một cảnh báo. Về cơ bản. Bạn có thể phải sử dụng nhiều phương pháp trực tiếp tại header lớp application. Điều này có nghĩa là nếu một gói khớp với tiêu chuẩn được định nghĩa trong nhiều rule. Điều này giúp bạn tạo ra một rule dùng cho detection engine để tìm một chuỗi bên trong dữ liệu. Output Modules (Bộ phận đầu ra) : Output modules hay plug-in thực hiện những hoạt động khác nhau phụ thuộc bạn muốn lưu kết quả sinh ra bởi logging và cảnh báo thế nào. Trong tất cả phiên bản Snort 1. Bạn có thể sử dụng dòng lệnh “–l” để thay đổi vị trí sinh log file hay cảnh báo. • Sinh ra dẫn xuất eXtensible Markup Language (XML) • Bổ sung cấu hình trên router và firewall. loại file tcpdump hay những hình thức ghi khác. chỉ rule đầu tiên được áp dụng vào gói đó mà không tìm kiếm sự so khớp khác. Mặc định tất cả những log file được lưu trong /snort/log/. Việc ghi lưu trong những text file đơn giản. phát hiện sớm hơn so với các phiên bản trước. Bảng sau đây cho ta thấy những thành phần khác nhau của một IDS: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 57 . Phụ thuộc vào sự cấu hình. gói có thể được dùng để ghi hành động hay sinh cảnh báo. Sau khi so khớp tất cả các rule. • Ghi vào cơ sở dữ liệu như MySQL hay Oracle. Những công cụ khác cũng có thể gửi cảnh báo trong những định dạng khác như e-mail hay qua giao diện web. Logging và Alerting System (Hệ thống ghi và cảnh báo) : Phụ thuộc vào detection engine tìm trong gói. Phụ thuộc vào rule. Có nhiều lựa chọn dòng lệnh sẽ được thảo luận trong phần sau và chi tiết thông tin về cách ghi log file hay cảnh báo. • Payload của dữ liệu.0 đã được làm lại một cách hoàn chỉnh để nó so sánh tốt hơn. Output modules có thể làm những việc sau: • Đơn giản chỉ ghi vào snort/log/ hay những thư mục khác • Gửi SNMP traps • Gửi thông điệp đến syslog. • Gửi thông điệp Server Message Block (SMB) đến hệ thống Microsoft Window. Một rule thiếu trọn vẹn sẽ sinh ra một cảnh báo không trọn vẹn. rule nào trọn vẹn nhất sẽ được chọn để sinh cảnh báo. Detection engine làm việc khác nhau trong mỗi phiên bản Snort khác nhau. Đây là một vấn đề. những modules này điều khiển loại kết quả sinh ra bởi hệ thống logging và cảnh báo.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu header. chẳng hạn như tìm kiếm offset của dữ liệu.

Tập luật (rulesets) trong Snort : Giống như virus. ghi một thông điệp. trong những thuật ngữ của Snort. Trong chương này cung cấp thông tin về những loại rule khác nhau cũng như cấu trúc cơ bản của rule. pass gói dữ liệu (không làm gì cả). Snort 1. Hệ thống phát hiện Snort dựa trên rules. có những lổi cơ sở dữ liệu khiến cho những intruder muốn khai thác. Có nhiều cuộc tấn công được biết đến cũng sử dụng signature để tìm một ai đó cố gắng khai thác chúng. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 58 .conf. Những rule này lấy cơ sở từ dấu hiệu kẻ xâm nhập (signature). Tuy nhiên bạn cũng có thể mở rộng trên nhiều dòng bằng cách dùng một ký tự “\” vào cuối dòng. bạn đã phân tích một số kỹ thuật tấn công DoS/DDoS để tìm ra những cơ chế hoạt động và thông tin về những công cụ và công nghệ của họ. Snort phiên bản 2. 1. Một rule có thể sử dụng để phát ra một thông điệp cảnh báo. Rule Header Rule Options Cấu trúc Rule Rule header chứa thông tin về hoạt động mà rule để lấy. Những signature này có thể hiển thị trong phần header (tiêu đề) của gói dữ liệu hoặc trong payload. Rules thường đặt trong một file cấu hình. hay. Những rule được áp dụng trong một kiểu nào đó đến tất cả các gói phụ thuộc vào loại đó. 3. hầu hết hành động xâm nhập có vài loại signature. Rule “thông minh” là rule có thể áp dụng lên nhiều dấu hiệu xâm nhập. Bạn cũng có thể sử dụng nhiều file bằng cách gôm chúng trong một file cấu hình chính. chẳng hạn như là snort. Bạn sẽ tìm thấy nhiều ví dụ của những rule chung cho hành vi phát hiện xâm nhập trong chương sau. Một rule có thể phát hiện một loại hay nhiều loại hành vi xâm nhập. Thông tin về những signature này dùng để tạo Snort rules. Snort rules được viết theo cú pháp dễ hiểu nhất. phát hiện sự bất thường. Rule option thường chứa một thông điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để phát sinh cảnh báo.Cấu trúc của một rule: Tất cả các rule đều có 2 phần logic: rule header và rule options.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Tên Packet Decoder Preprocessor hay Input plugin Detection Engine Logging and Alerting System Output Modules Mô tả Chuẩn bị gói cho việc xử lý Dùng để bình thường hoá tiêu đề giao thức. Rule option cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu. Hầu hết những rules được viết trên một dòng đơn. Nó cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói dữ liệu. ghi và sinh kết quả cuối cùng.x có hỗ trợ phần header lớp ứng dụng.x có thể phân tích ở những header ở lớp 3 và 4 nhưng không thể phân tích ở giao thức lớp ứng dụng. Hơn nữa. tái hợp gói và tái hợp luồng TCP Áp dụng rule lên gói Sinh thông điệp cảnh báo và ghi lại log Xử lý cảnh báo. Snort rules có thể được sử dụng để kiểm tra những phần khác nhau của gói dữ liệu.

Thành phần protocol là rất quan trọng khi bạn muốn áp dụng Snort rule chỉ trên những gói của một loại riêng biệt.) Phần nằm trước dấu ngoặc đơn gọi là rule header. Trong Snort detection engine. Nhớ rằng những gói được ghi bằng mặc định khi cảnh báo phát ra.  Địa chỉ nguồn và cổng nguồn. Phụ thuộc vào trường action. Ký tự <> cũng có thể sử dụng để áp dụng rule lên gói đi từ 2 bên. Trong rule trên. Ở đây là ICMP. Chú ý rằng có 2 trường địa chỉ trong rule. nghĩa là rule chỉ áp dụng lên tất cả gói ICMP. địa chỉ phía bên trái là nguồn. Địa chỉ nguồn và đích được xác định dựa trên trên trường direction. có nghĩa là rule sẽ áp dụng lên tất cả các gói không quan tâm đến địa chỉ đích. Bạn cũng có thể sử dụng những thành phần khác để ngăn chặn những địa chỉ từ một mạng đầy đủ. Direction. port numbers không có ý nghĩa. Cho một ví dụ. Nói lên địa chỉ và port number bên trái dấu  là nguồn còn bên phải là đích. Những hoạt động điển hình là sinh ra một cảnh báo hoặc ghi thông điệp hoặc diện chứng cho rule khác. Trong ví dụ này cả hai đều là “any”. Protocol dùng để áp dụng rule lên gói chỉ với một giao thức riêng. nếu giao thức của gói không phải ICMP.  Địa chỉ đích là cổng đích. Phần trong dấu ngoặc đơn là rule option. Port number chỉ thích hợp trong trường hợp protocol là TCP hay UDP.  Protocol (giao thức). có nghĩa là rule sẽ áp dụng lên tất cả các gói đến từ nhiều nguồn. port xác định cổng nguồn và đích của gói khi rule áp dụng lên đó. rule sẽ không làm gì trên gói đó để tiết kiệm thời gian xử lý của CPU. Dĩ nhiên port number sẽ không áp dụng lên gói ICMP. Đây là tiêu chuẩn đầu tiên giám sát trong rule.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Cấu trúc chung của rule header như sau: Action Protocol Address Port Derection Address Port Rule Header Action dùng để xác định loại hành động mà nó lấy về khi tiêu chuẩn gặp được và một rule được so sánh chính xác một gói dữ liệu. có nghĩa là một cảnh báo sẽ sinh ra khi điều kiện bắt gặp. Điều đó cũng có nghĩa rằng rule sẽ áp dụng lên gói đi từ nguồn đến đích. địa chỉ bên phải là đích. Header chứa những phần sau:  Một rule action (hành động của luật). nếu trường direction là “”. Trong giao thức TCP/UDP. rule sau đây sẽ sinh ra cảnh báo khi nó phát hiện gói ping ICMP (ICMP ECHO REQUEST) với TTL bằng 100: alert icmp any any -> any any (msg: "Ping with TTL=100". Trong trường hợp này. nó là ký hiệu  từ trái sang phải. Bạn cũng có thể dùng dấu  để định nghĩa địa chỉ nguồn/đích cho gói. Direction trong rule không đóng vai trò gí cả bởi vì rule được áp dụng lên tất cả các gói ICMP di  Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 59 . Trong ví dụ này cả hai đều là “any”. Trong trường hợp những giao thức lớp network như IP và ICMP. rule option có thể chứa tiêu chuẩn cho rule. Cho ví dụ. action là “alert”. \ ttl: 100.

168. Sau đây là những từ khóa thông dụng . Bạn cũng có thể kết hợp dạng ASCII và nhị phân trong hexa vào một rule.168.0/24 any -> ![192. Đó là: Offst Depth Nocase Từ khóa offset: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 60 . tuy nhiên ở đây rule chỉ giúp cho bạn hiểu như thế nào từ khóa này làm việc mà thôi: alert tcp 192.168. Tất cả những lựa chọn được định nghĩa bởi từ khóa. Những Rule option chứa các đối số. Hành động trong rule header chỉ được gọi khi tất cả những tiêu chuẩn trong lựa chọn là đúng.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu chuyển cả hai bên. Chẳng hạn như: msg: "Detected confidential". Về nội dung (lớp application): Từ khóa content: Một chức năng quan trọng của Snort.1. Thường thì những lựa chọn có 2 phần: một từ khóa và một đối số. Lựa chọn msg là từ khóa và “Detected confidential” là đối số cho từ khóa này. msg: "GET matched". Nó hoạt động trên những giao thức riêng. Có thể một lựa chọn hay nhiều lựa chọn truyền vào cùng dấu. Ký tự hexa nằm trong cặp dấu “||”. từ khóa GET thường được sử dụng cho nhiều loại tấn công HTTP. Nếu bạn sử dụng nhiều lựa chọn.1. Bạn đã sử dụng option như msg và ttl trong ví dụ trước rồi đó.1. Rule sau đây phát hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát từ địa chỉ 192. 54 = T.1.) Rule dưới đây cũng tương tự nhưng nó liệt kê ở dang hexa: alert tcp 192.0/24] any \ (content: "GET". dạng lựa chọn này là AND. do đã sử dụng từ khóa “any” trong cả hai thành phần địa chỉ nguồn và đích. Những từ khóa này là tiêu chuẩn trong khi tìm một mẫu bên trong gói.0. Những đối số truyền vào từ lựa chọn từ khóa bằng một dấu “:”. 45 = E. nó có khả năng tìm mẫu dữ liệu bên trong gói. Có 3 từ khóa khác nhau dùng chung với content.1. Rule Option: Rule option theo sau rule header và được đặt trong cặp dấu ngoặc đơn. cho nên có ý nghĩa khác nhau đi theo giao thức. msg: "GET matched".168.0/24] any \ (content: "|47 45 54|".) Số 47 tương đương mã ASCII là G.168. Mẫu này có thể hiển thị ở dạng chuỗi ASCII hay nhị phân trong hình thức mã hexa.0/24 any -> ![192.

Dùng depth cho phép bạn chỉ định một khoảng bắt đầu từ byte đầu tiên của gói.0/24 any -> any any \ (content: "HTTP". Nó không có đối số. bạn có thể chỉ ra vùng dữ liệu mà bạn muốn lấy mẫu. Không cần phải tìm toàn bộ gói. thông tin về yêu cầu HTTP GET được tìm thấy từ đầu gói.) Từ khóa depth định nghĩa điểm để Snort ngừng tìm kiếm mẫu. offset: 4.1. Dữ liệu sau khoảng này không lấy mẫu nữa. msg: "HTTP matched".1. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 61 . Những lựa chọn có thể sử dụng cho từ khóa này xác định phương hướng: to_client to_server from_client from_server Những lựa chọn này lần đầu có thể gây cho bạn khó hiểu. Nhiều gói được capture với kích thước rất lớn. offset: 4. Dùng một con số làm đối số cho từ khóa này. Nó chỉ giúp tìm mẫu trong dữ liệu không phân biệt chữ hoa hay thường.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu của phần dữ liệu của gói. Từ khóa depth: Chỉ định một giới hạn dưới cho việc lấy mẫu. Từ khóa flow: Flow được sử dụng để áp dụng một rule trên những phiên TCP đến những gói trong phương hướng riêng.0/24 any -> any any (content: \ "HTTP".) Nó rất quan trọng khi bạn muốn giới hạn công việc tìm kiếm trong gói. msg: "HTTP matched". alert tcp 192. Ví dụ bạn muốn tìm từ “HTTP”. Ví dụ sau sẽ bắt đầu tìm từ “HTTP” sau 4 byte kể từ byte đầu tiên trong gói. Từ khóa nocase: Nocase thường kết hợp với content. Cho ví dụ. lấy mẫu 4 byte và chỉ xét trong 40 byte đầu tiên: alert tcp 192. nó sẽ tốn nhiều thời gian để tìm kiếm. Nếu bạn kết hợp offset và depth cùng với content. Từ khóa này dùng xác định phương hướng. Từ “to” mang ý nghĩa là đáp ứng (response) và “from” mang nghĩa là yêu cầu (request). depth: 40.168.168.

nó cho biết gói IP sẽ không phân mảnh. nếu là “-” thì bỏ bớt một số bit. Chức năng các cờ như sau: Bit dành riêng (RB – Reserved Bit). Nếu bit này bật. đó là: Record Route (rr) Time Stamps (ts) Lose Source Routing (lsrr): định tuyến nguồn nới lỏng Strict Source Routing (ssrr).M”. đi chung với “D. D tương đương DF. Ngoài ra. áp dụng rule mà không cần xem trạng thái của phiên TCP Lựa chọn established. dùng cho tương lai. Lựa chọn stateless. Lựa chọn stateless và established liên kết đến trạng thái TCP. Lựa chọn về IP: Từ khóa fragbits: Tiêu đề IP (IP header) chứa 3 cờ bit. M là MF. Luồng TCP (TCP Stream)được xử lý bởi bộ tiền xử lý stream4 (thảo luận trong phần sau).org/rfc/rfc791.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Những lựa chọn khác dưới đây cũng có thể sử dụng để áp dụng rule vào các trạng thái khác nhau của kết nối TCP. áp dụng rule mà để xác lập chỉ những phiên TCP Lựa chọn no_stream. Lựa chọn stream_only. Bạn cũng có thể dùng dấu “!” trong rule. bật những rule để áp dụng vào gói mà không cần xây dựng từ một luồng. Bit có nhiều phân mảnh (MF – More Fragments Bit). tiêu đề là 20 byte. Lựa chọn IP dùng cho những mục đích khác nhau. nếu là “+” tức là gắn thêm bit cờ với những bit khác. ta cũng thường thấy các từ “+. Hacker có thể dùng những lựa chọn này để tìm thông tin về tổ chức mạng. R là RB. Bit không phân mảnh (DF – Don’t Fragment Bit). Chiều dài của phần lựa chọn có thể lên đến 20 byte. Tương tự. loose và strict source routing có thể giúp Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 62 . dùng để phân mảnh và tái hợp gói IP. định tuyến nguồn siết chặc Trong Snort rule. Ví dụ.-”. áp dụng rule chỉ trên những gói đã xây dựng từ một luồng.R. hầu hết những lựa chọn thường dùng liệt kê trong RFC 791 tại http://www. Từ khóa ipopts: Trong IPv4. Nó có ý nghĩa.rfc-editor.txt. Bạn có thể thêm những lựa chọn cho tiêu đề IP này.

ta dùng một số thay vì tên (hiệu quả hơn) alert ip any any -> any any (ip_proto: 94. Từ khóa ip_proto: Ip_proto sử dụng IP Proto plug-in để xác định con số giao thức trong IP header. bạn có thể sử dụng một tên cho giao thức nếu nó đã định nghĩa trong file /etc/protocols. Dùng những Snort rule. Xem mẫu file tương tự như sau: ax. bạn có thể phát hiện những nổ lực tìm kiếm của hacker bằng từ khóa ipopts.25 Frames # Yet Another IP encapsulation #Mobile Internetworking Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 63 . Tuy nhiên.) 100 GMTP 101 IFMP # GMTP # Ipsilon Flow Management 98 ENCAP 99 # Yet Another IP encapsulation # any private encryption ETHERIP # Ethernet-within-IP 96 SCC-SP # Semaphore Communications 93 AX.25 94 IPIP 95 MICP # AX. bạn không thể chỉ định nhiều từ khóa lựa chọn IP trong một rule. Rule sau áp dụng cho Losse Source Routing: alert ip any any -> any any (ipopts: lsrr.) Bạn cũng có thể dùng từ khóa logto để ghi thông điệp vào một file.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu hacker khám phá ra đườn dẫn của một mạng nào đó tồn tại hay không. \ msg: "Loose source routing attempt". Pro. etherip 97 Encapsulation encap # scheme gmtp ifmp Protocol pnni 102 PNNI # PNNI over IP Rule sau kiểm tra nếu giao thức IPIP là đang sử dụng bởi gói dữ liệu: alert ip any any -> any any (ip_proto: ipip. Từ khóa yêu cầu con số giao thức như một đối số. \msg: "IP-IP tunneling detected". scc-sp Sec.) Tiếp theo.25 ipip micp Control Pro. \msg: "IP-IP tunneling detected".

Tiện ích traceroute sử dụng TTL để tìm bộ định tuyến kế tiếp trong đường đi của gói. Khi nó có giá trị là 0.icann. Lựa chọn về TCP: Từ khóa seq: Seq trong Snort rule kiểm tra sequence number của gói TCP. Sử dụng gói ICMP này. Định dạng chung của nó như sau: ttl: 100. Từ khóa có một giá trị cho biết chính xác giá trị TTL. bạn có thể tìm ra nếu một ai đó cố gắng traceroute qua mạng của bạn. nó cho biết đây là phân mảnh cuối cùng của một gói IP (nếu gói IP đó bị phân mảnh). Ví dụ như sau: tos: 1. Đối số này là một sequence number. Mục đích của nó là phát hiện ra những tấn công mà có dùng ID cố định trong IP header.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Những giao thức mới nhất có thể tìm thấy từ ICANN tại http://www. Giá trị TTL được giảm dần tại mỗi hop. traceroute sẽ gửi những gói UDP với TTL đặt là 5. Từ khóa ttl: Ttl được dùng để phát hiện giá trị Time o Live trong IP header của gói.org. Ví dụ. router sinh ra một gói ICMP đến nguồn. tiện ích traceroute tìm ra địa chỉ IP của router. Từ khóa tos: Tos dùng để phát hiện ra một giá trị nào đó trong trường TOS (Type of Service) của IP header. Sử dụng ttl. Khi gói này đến router thứ 5. Id trong Snort rule dùng để xác định phân mảnh cuối cùng trong gói IP. Từ khóa id: Id dùng để so sánh trường ID phân mảnh của tiêu đề IP. bao gồm ICMP. Từ khóa cần chính xác giá trị TTL để mà so khớp. UDP và TCP. Nó có định dạng: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 64 . Định dạng của nó là: id: "id_number" Nếu giá trị của trường id trong IP header bằng 0.Từ khóa này có thể sử dụng với tất cả loại giao thức xây dựng trên giao thức IP. để tìm router thứ 5. nó có giá trị là 0 và một gói ICMP được sinh ra.org tại IANA http://iana. Giá trị 0 cũng cho biết rằng nó chỉ phân mảnh nếu gói đó là không phân mảnh. Traceroute gởi những gói UDP với giá trị TTL tăng dần.

168.0/24 any (flags: A. Cờ bit này được sử dụng cho nhiều công cụ bảo mật nhằm mục đích khác nhau bao gồm công cụ quét cổng như nmap.1. Host đích là 192.+.1.rfc-editor. Snort hỗ trợ những loại cờ bit . bạn có thể tạo một rule như sau: alert tcp any any -> 192. OR và NOT. Lựa chọn về ICMP: Từ khóa icmp_id: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 65 .168.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu seq: "sequence_number". nó có thể gửi một gói TCP tới port 80 với cờ ACK bật và sequence number là 0.0/24 any (flags: SF. Cho ví dụ. Trường này chỉ có ý nghĩa khi cờ ACK trong TCP header được bật.0/24. giá trị ACK không còn là 0. nó chỉ ra rằng host đó vẫn còn hoạt động. Công cụ nmap (http://nmap.Bạn cũng có thể dùng dấu “!. Từ khóa flags: Flags dùng để tìm ra cờ bit được bật trong tiêu đề TCP gói. Khi gói này không truy cập được do bên nhận có áp dụng rule đối với TCP. Sequence number là một phần trong tiêu đề TCP.) Rule này cho biết là thông điệp cảnh báo sẽ phát ra khi bạn nhận một gói TCP với cờ A bật và ACK chứa có giá trị 0.168. msg: "TCP ping detected". Những cờ TCP được liệt kê trong bảng dưới. Để phát hiện loại ping TCP này. tương ứng với phép AND. \ack: 0. Phương pháp này làm việc trên những host mà không đáp ứng những gói ICMP ECHO REQUEST. bạn có thể sử dụng giá trị của ACK trong rule. alert tcp any any -> 192. có chiều dài 32 bit. Thường thì khi cờ A được bật.1.org/rfc/rfc793.*” giống như cờ bit trong tiêu đề IP. tuy nhiên nó thêm vào Snort chỉ phát hiện cho loại tấn công này. Khi nmap nhận được gói RST này.org) sử dụng tính năng của gói TCP này đế ping một máy. Bạn có thể tham khảo thêm cờ flag trong TCP tại RFC 793 tại http://www.) Từ khóa ack: TCP header có một trường Acknowledgemant Number. nó sẽ gửi về một gói RST. Trường cho biết là sequence number tiếp theo của gói TCP bên gởi đang chờ đợi từ bên nhận. \ msg: “SYNC-FIN packet detected”. Mỗi cờ có thể dùng như một đối số cho flags trong Snort rule.txt.

Đối số cho nó là một số và có định dạng sau: itype: "ICMP_type_number" Trường type trong ICMP header của gói dữ liệu được sử dụng để xác định loại gói ICMP. alert icmp any any -> any any (icmp_id: 100. \ msg: "ICMP Sequence=100". Cú pháp của nó là: icmp_seq: <ICMP_id_number> sequence number cũng là một trường trong tiêu đề ICMP và cũng có ích trong việc so sánh ECHO REQUEST và ICMP ECHO REPLY (xem RFC 792). \msg: "ICMP Source Quench Message received". \ msg: "ICMP ID=100". Trường này được sử dụng để so sánh ECHO REQUEST và ECHO REPLY.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Lựa chọn icmp_id phát hiện ra ID của gói ICMP. ít ai mà dùng từ khóa này.) Từ khóa icode: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 66 . Thường thì khi bạn sử dụng lệnh ping. nếu sequence number là 100 thì sinh cảnh báo: alert icmp any any -> any any (icmp_seq: 100.Từ khóa itype nhằm phát hiện những tấn công sử dụng trường type trong tiêu đề ICMP. Luật sau kiểm tra nếu ICMP IP trong tiêu đề ICMP bằng 100 thì sinh một cảnh báo. Từ khóa này cho phép tìm một sequence number đặc trưng. nếu bạn muồn sinh một cảnh báo cho loại thông điệp source quench. Trường này có ích cho việc nhận ra cái gói đáp ứng cho gói yêu cầu.) Từ khóa icmp_seq: Lựa chọn icmp_seq tương tự như icmp_id. Xem rule sau. cả hai loại ICMP đó được trao đổi giữa bên gửi và bên nhận. Danh sách các loại ICMP khác nhau và giá trị của trường type tương ứng: Ví dụ. Cú pháp của nó là: icmp_id: <ICMP_id_number> Trường nhận dạng một ICMP tìm thấy trong thông điệp ICMP ECHO REQUEST và ICMP ECHO REPLY (xem RFC 792). Tuy nhiên. sử dụng rule sau: alert icmp any any -> any any (itype: 4. Bên gửi gửi gói ECHO REQUEST và bên nhận đáp ứng lại gói ECHO REPLY.) Từ khóa itype: Tiêu đề ICMP đến sau tiêu đề IP và chứa một trường type.

Đối số cho trường này là một số và có định dạng sau: icode: "ICMP_codee_number" Trường type trong tiêu đề ICMP cho biết loại thông điệp ICMP.Mô hình: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 67 . nếu trường type có giá trị là 5 thì loại ICMP là “ICMP redirect”.) Hai từ khóa itype và icode thường dùng chung với nhau. gói ICMP là loại của dịch vụ và host. Từ khóa icode dùng để phát hiện trường code trong tiêu đề gói ICMP. msg: "ICMP ID=100". Ví dụ. II. Có thể có nhiều lý do sinh ra một ICMP redirect. Nó chứa một trường code.Thực hiện: 1. Rule sau sinh ra một cảnh báo cho những gói ICMP đến host: alert icmp any any -> any any (itype: 5. Trường code cho biết rõ những loại lý do đó: Nếu trường code bằng 0. gửi gói ICMP đến một mạng. ICMP header đến sau IP header. Trường code cho biết chi tiết loại đó. \ icode: 1. gửi gói ICMP đến một host Nếu trường code bằng 2.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Trong những gói ICMP. Nếu trường code bằng 3. gói ICMP là loại của dịch vụ và mạng. Nếu icode dùng một mình thường không đạt được công việc tốt bởi vì những loại ICMP khác cũng có thể có cùng giá trị code giống nhau. Nếu trường code bằng 1. Icode trong Snort rule sử dụng để tìm giá trị trường code trong ICMP header.

1.Thực hiện: 2.Các phần mềm cần thiết: Snort Apache HTTP Server PHP5 MySQL 2.Thực hiện: Cài Snort: Cài Apache HTTP Server: Khởi động Apache HTTP Server: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 68 .2.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 2.

cnf: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 69 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Test Apache HTTP Server Cài PHP5: Cài MySQL cho Apache HTTP Server: Cấu hình lại file my.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Khởi động lại MySQL: Cài thư viện cho Apache HTTP Server: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 70 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu CàiPHPMyadmin: Cấu hình lại file php.ini: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 71 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo cơ sở dữ liệu để lưu file log:

Cài Snort cho MySQL:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 72

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Cấu hình file snort.conf:

Import table cơ sở dữ liệu cho Snort:
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 73

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Xem bảng database:

Table của Snort:

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 74

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS

Giáo Viên Hướng Dẫn Lư Huệ Thu

Tạo một rule đơn gian : test.rules

Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235

Page 75

com: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 76 .ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Nội dung của rules: Test rules vừa tạo: Install rules thành công: Truy cập trang www.google.

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kết quả: Test tấn công Dos: Tool tấn công: DosHTTP: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 77 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Máy tấn công: Máy cài Snort: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 78 .

ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Kết quả: Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 79 .

2005. 3. Cisco Press. 2. “How IDS Addresses common Detection System. Everything you need to know about IDS. ta có thể thực hiện nghiên cứu Hệ thống phát hiện và chặn xâm nhập (IPS) và triển khai cho các hệ thống mạng của các tổ chức. http://searchsecurity. Attacks & Vulnerabilities”. Giovanni Vigna.Kết luận: Cho thấy được sự cần thiết của bảo mật.  Nghiên cứu cách sử dụng Snort để phát hiện các hình thức tấn cống hiện tại và có thể phát triển lên các phương pháp phòng chống tiên tiến hơn ở một tương lai không xa.com>. 7.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu Chương IV: Kết luận và Hướng phát triển I. Springer. “Alert Correlation”. Fredrik Valeur. “Introduction to Network Security”.  Trình bày được một số hình thức xâm nhập tấn công cơ bản và sử dụng Snort để phát hiện các tấn công đó. Qua bài báo cáo này:  Nắm bắt được những khái niệm cơ bản nhất về một hệ thống phát hiện xâm nhập.  Triển khai được một hệ thống phát hiện xâm nhập phổ biến là Snort  Nắm bắt được cơ chế viết luật cho Snort và đã viết được một số luật cơ bản. 2002.com/ 2003 6.D<QoDwriting@gawab. 1999 AXENT Technologies. Module 1–3. Intrusion Detection and Correlation: Challenges and Solutions. 2004 KnowledgeNet Security+ Student Guide. II. Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 80 . những hạn chế của các phương pháp bảo mật hiện tại. “Computer security and Intrusion Detection”. Từ đó vạch ra phương án phòng chống.o. www. Cisco Secure Intrusion “The need for Intrusion Detection System”. knowledgenet. IDS giúp chúng ta khám phá. Christopher Kruegel. ”Part I”. đồng thời nói lên sự cần thiết của hệ thống phát hiện xâm nhập trái phép. phân tích một nguy cơ tấn công mới. A look into IDS/Snort. Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. 4. có thể lần tìm được thủ phạm gây ra một cuộc tấn công. Inc. 5. Tài liệu tham khảo 1.snort.com.Hướng phát triển:  Sau khi đã nắm cơ bản về Hệ thống phát hiện xâm nhập (IDS). Earl Carter. Q.org. Ở một góc độ nào đó. Threats.

ietf.ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu 8.org/rfc/ Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 81 . http://www.

Sign up to vote on this title
UsefulNot useful