Xây dựng giải pháp an toàn bảo mật hệ thống mạng phòng tránh kiểu tấn công giả mạo (Phishing attack)

Trong cuộc sống hiện đại ngày nay, ai cũng biết đến Internet. Sự xuất hiện của nó được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Nó đã và đang thay đổi và cải thiện môi trường học tập và làm việc của mỗi chúng ta, đặc biệt nó đang dần đưa chúng ta đến gần với thời đại mới – Thời đại về công nghệ số. Bên cạnh đó, Internet trở thành môi trường kinh doanh xóa đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhân loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu thế giới nói chung và Việt Nam nói riêng. Trước sự phát triển như vũ bão ấy, liệu sự an toàn về bảo mật thông tin đã được đảm bảo hay chưa? Hằng ngày, chúng ta đã được biết đến rất nhiều thông tin về các cuộc tấn công mạng, tấn công vào các hệ thống thông tin quan trọng làm ảnh hưởng nặng nề dến tài chính, thông tin cá nhân của doanh nghiệp, cá nhân và tổ chức. Với những lý do trên, qua tìm hiểu, em được biết về việc tấn công và phòng tránh kiểu tấn công bảo mật qua hệ thống mạng và qua thời gian khảo sát và vận dụng những kiến thức đã học, em đã quyết định chọn và thực hiện đề tài: “Xây dựng giải pháp an toàn bảo mật hệ thống mạng phòng tránh kiểu tấn công giả mạo (Phishing Attack)” là đề tài đồ án tốt nghiệp Đại học

LỜI CẢM ƠN

Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự giúp đỡ, đóng góp,

ý kiến và chỉ bảo nhiệt tình của thầy cô, gia đình và bạn bè đã giúp em hoàn thiện đồ ántốt nghiệp

Trước tiên, em xin gửi tới các thầy, cô khoa Công nghệ thông tin - Trường Đại họcCông nghệ Giao thông vân tải lời chúc sức khỏe và lời cảm ơn chân thành Với sự quantâm, chỉ bảo của thầy cô đã tạo điều kiện cho em trong suốt quá trình học tập và hoànthành đồ án tốt nghiệp lần này

Đặc biệt, em xin gửi lời cảm ơn chân thành nhất đến thầy Phan Như Minh đã trực

tiếp tận tình hướng dẫn cũng như nhận xét và giúp đỡ em trong suốt quá trình hoàn thiện

đồ án

Em cũng xin chân thành cảm ơn đến Ban giám hiệu trường Đại học Công nghệ Giaothông vận tải cùng các thầy, cô khoa Công nghệ thông tin đã tạo điều kiện tốt nhất trongsuốt quá trình học tập và hoàn thiện đồ án

Với điều kiện thời gian cũng như kinh nghiệm còn hạn chế của một sinh viên, đồ ánnày không chánh khỏi những thiếu sót Em rất mong nhận được sự giúp đỡ của thầy cô vàcác bạn để hoàn thiện hơn đô án

Em xin chân thành cảm ơn!

Hà Nội, ngày … tháng … năm 2020

Sinh viên thực hiện

LỜI CAM ĐOAN

Em xin cam đoan đồ án này là kết quả nghiên cứu của riêng em Các tài liệu trong

đồ án được sử dụng trung thực, nguồn trích dẫn có ghi chú rõ ràng, minh bạch Các kếtquả trong đồ án có tính độc lập riêng và chưa được công bố trong các công trình khác.Nếu không đúng như đã nêu trên, em xin hoàn toàn chịu trách nghiệm về đề tài của mình

Hà Nội, ngày … tháng … năm 2020

Sinh viên thực hiện

MỤC L

Lời cảm ơn 1

Lời cam đoan 2

Mục lục 3

Danh mục hình ảnh 5

Danh mục từ viết tắt 7

Lời mở đầu 9

Tóm tắt 10

Chương 1 Giới thiệu 11

1.1.Lý do chọn đề tài 11

1.2.Mục tiêu của đồ án 11

1.3.Giới hạn và phạm vi của đồ án 12

1.3.1.Về mặt lý thuyết 12

1.3.2.Về công cụ hỗ trợ 12

1.4.Kết quả mong muốn đạt được 13

Chương 2 Kiến thức nền tảng 14

2.1.Cơ sở lý thuyết 14

2.1.1.Tổng quan về an toàn bảo mật hệ thống và tấn công mạng 14

2.1.2.Đối tượng bị tấn công 15

2.1.3.Mục đích tấn công mạng 15

2.1.4.Các mô hình tấn công mạng 17

2.1.5.Kỹ thuật tấn công giả mạo (Phishing attack) 26

2.1.6.Các phương thức tấn công phishing 28

2.1.7.Tổng quan về hệ thống phát hiện xâm nhập IDS 31

2.1.8.Tìm hiểu về HIDS 34

2.1.9.Triển khai hệ thống HIDS 38

2.2.Công cụ sử dụng 40

2.2.1.VMware Workstation 40

2.2.2.Hệ điều hành Kali Linux 42

2.2.3.Công cụ Social – Engineering Toolkit 44

2.2.4.Hệ điều hành Ubnutu 45

2.2.5.Công cụ OSSEC – Hệ thống phát hiện xâm nhập 46

Chương 3 Khảo sát hệ thống và chương trình mô phỏng 50

3.1 Khảo sát hệ thống 50

3.2 Triển khai hệ thống 51

3.3 Triển khai cấu hình tấn công Phishing Attack 52

3.3.1 Các giao diện và bước dùng tool SET 52

3.3.2 Thực hiện tấn công Phishing attack qua SET (Social – Engineering Toolkit) 56

3.4 Triển khai cài đặt mô hình hệ thống phát hiện xâm nhập OSSEC 57

Chương 4 Các giải pháp an toàn bảo mật hệ thống mạng 62

4.1 Các giải pháp bảo mật mạng 62

4.1.1 Thiết kế cơ sở hạ tầng theo mô hình SOA 63

4.1.2 Mô hình triển khai dịch vụ và quản lý người dùng 64

4.1.3 Hệ thống tường lửa đa năng 64

4.1.4 Hệ thống phát hiện và chống xâm nhập IDS/ IPS 65

4.1.5 Hệ thống phát hiện Multi – Stack Statefule Inspection (MSSI) 65

4.1.6 Unified Threat Management 66

4.2 Đối với cá nhân 66

4.3 Đối với các tổ chức, doanh nghiệp 66

Kết luận và hướng phát triển 68

Tài liệu tham khảo 69

DANH MỤC HÌNH ẢNHY

Hình 2 1: Mô hình tấn công mạng theo phương pháp truy cập - Access attack 16

Hình 2 2: Mô hình tấn công chuỗi cung ứng 20

Hình 2 3: Hình ảnh tấn công về phá mã khóa 21

Hình 2 4: Phân tích về Social Engineering Attack 24

Hình 2 5: Các bước tấn công Phishing Attack 25

Hình 2 6: Mánh khóe gửi mail tấn công Phishing nạn nhân 29

Hình 2 7: Mô hình mô phỏng về IDS 33

Hình 2 8: Mô hình phòng tránh tấn công mạng của công ty xuất khẩu lao động Hoàng Hưng Japan 39

Hình 2 9: Biểu tượng logo của VM Ware 41

Hình 2 10: Hệ điều hành Kali Linux 43

Hình 2 11: GIao diện Kali Linux 44

Hình 2 12: Giao diện Social - Engineering Toolkit 45

Hình 3 1: Logo công ty xuất khẩu lao động Hoàng Hưng Japan 50

Hình 3 2: Mô hình thiết kế sơ đồ mạng của Công ty xuất khẩu lao động Hoàng Hưng Japan 51

Hình 3 3: Mô hình phòng tránh tấn công mạng của công ty xuất khẩu lao động Hoàng Hưng Japan 51

Hình 3 4: Giao diện tool Social - Engigneering Toolkit 53

Hình 3 5: Menu các cách tấn công của tool SET 53

Hình 3 6: Cách tấn công kỹ thuật giả mạo Website 54

Hình 3 7: Các cách tấn công lấy thông tin người dùng 54

Hình 3 8: Đã tấn công qua SET 55

Hình 3 9: Giao diện người dùng truy cập bị tấn công 56

Hình 3 10: Dữ liệu người dùng gửi về server 57

Hình 3 11: Giao diện OSSEC server 58

Hình 3 12: Các key list cho Ossec Agent 59

Hình 3 13: Các bước thực hiện lấy key Agent 60

Hình 3 14: Key Agent 60

Hình 3 15: Giao diện Ossec Agent trên Window 10 61 Hình 3 16: Giao diện Ossec Agent hiện thỉ thành công trên Ossec Server 61 Hình 4 1: Kiến trúc SOA 63

DANH MỤC TỪ VIẾT TẮT

IDS

Intrusion detection system (IDS) Hệ thống phát hiện xâm

nhậpBIG DATA

AI

Artificial Intelligence Trí tuệ nhân tạo

nhập máy chủ

NIDS

Network-Based IDS Hệ thống phát hiện xâm

nhập mạngSQL Injection

kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào

Hacker

LAN

Local area network Mạng máy tính cục bộ

SQL Structured Query Language Ngôn ngữ truy vấn có cấu

trúc

DMZ

SET Social – Engineering Toolkit Công cụ mã nguồn mở trợ

giúp cho việc thử nghiệm xâm nhập

SOA

Service – Oriented Architecture Kiến trúc hướng dịch vụ

LAN

MAC Medium Access Control Điều khiển truy cập môi

trường

Network access server Máy chủ truy cập mạng

OFDM Orthogonal Frequency Division

Multiplex

Phương thức điều chế ghépkênh theo vùng tần số vuông góc

OSI Open Systems Interconnec Mô hình tham chiếu kết nối

các hệ thống mởSSID Service set identifier Bộ nhận dạng dịch vụTKIP Temporal Key Integrity Protocol Giao thức nhận dạng khoá

tạm thờiUSP User Datagram Protocol Là một giao thức truyền tải

WEP Wired Equivalent Privacy Bảo mật mạng không giây

tương đương với mạng có dây

WPA Wi-Fi Protected Access Chuẩn mã hóa cải tiến của

WEPWLAN Wireless Local Area Network Mạng cục bộ không giây

thực

LỜI MỞ ĐẦU

Trong cuộc sống hiện đại ngày nay, ai cũng biết đến Internet Sự xuất hiện của nóđược ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông Nó đã vàđang thay đổi và cải thiện môi trường học tập và làm việc của mỗi chúng ta, đặc biệt nóđang dần đưa chúng ta đến gần với thời đại mới – Thời đại về công nghệ số Bên cạnh đó,Internet trở thành môi trường kinh doanh xóa đi mọi ranh giới quốc gia và tạo ra một thịtrường lớn nhất trong lịch sử nhân loại, cùng với nó là sự phát triển như vũ bão của mạngtoàn cầu thế giới nói chung và Việt Nam nói riêng

Trước sự phát triển như vũ bão ấy, liệu sự an toàn về bảo mật thông tin đã được đảmbảo hay chưa? Hằng ngày, chúng ta đã được biết đến rất nhiều thông tin về các cuộc tấncông mạng, tấn công vào các hệ thống thông tin quan trọng làm ảnh hưởng nặng nề dếntài chính, thông tin cá nhân của doanh nghiệp, cá nhân và tổ chức

Với những lý do trên, qua tìm hiểu, em được biết về việc tấn công và phòng tránhkiểu tấn công bảo mật qua hệ thống mạng và qua thời gian khảo sát và vận dụng những

kiến thức đã học, em đã quyết định chọn và thực hiện đề tài: “Xây dựng giải pháp an toàn bảo mật hệ thống mạng phòng tránh kiểu tấn công giả mạo (Phishing Attack)”

là đề tài đồ án tốt nghiệp Đại học, dưới sự hướng dẫn của ThS Phan Như Minh, giảngviên khoa Công nghệ thông tin – Trường Đại học Công nghệ Giao thông vận tải

Trong thời gian học tập và rèn luyện tại trường Đại học Công nghệ Giao thông vậntải Em đã được trang bị kiến thức cơ bản về môn học, song sự với sự hạn hẹp về kiếnthức tổng hợp cũng như là kinh nghiệm thực tế nên bài báo cáo đồ án của em không tránhkhỏi những thiếu sót Vì vậy, rất mong được thầy cô giúp đỡ và đóng góp, để nội dungcủa đồ án của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Và cuối cùng là chương bốn gồm các giải pháp an toàn bảo mật hệ thống mạng chocác cá nhân, các tổ chức doanh nghiệp.

CHƯƠNG 1 GIỚI THIỆU1.1 Lý do chọn đề tài

Công nghệ thông tin là tập hợp các phương pháp khoa học và các công cụ kỹ thuậthiện đại, chủ yếu là kỹ thuật máy tính và viễn thông nhằm tổ chức khai thác và sử dụng cóhiệu quả các nguồn tài nguyên thông tin phong phú, tiềm năng trong mọi lĩnh vực hoạtđộng của con người và xã hội

Ngày nay, công nghệ thông tin phát triển nhanh chóng và ứng dụng vào tất cả cáclĩnh vực, có thể nói công nghệ thông tin trở thành thước đo để đánh giá sự phát triển của

xã hội hiện đại – nơi mà con người đang từ bỏ cách làm việc thủ công, tiến đến tin họchóa trong tất cả các lĩnh vực, để công việc thực hiện có hiệu quả hơn, tiết kiệm thời gian

1.2 Mục tiêu của đồ án

- Trình bày các đối tượng bị tấn công và mục đích tấn công mạng

- Trình bày về tấn công mạng và các hình thức tấn công mạng phổ biến hiện nay

- Nghiên cứu, tìm hiểu về tấn công giả mạo (Phishing attack)

- Tổng quan về hệ thống phát hiện xâm nhập IDS, HIDS.

- Cài đặt môi trường ảo hóa Vmware Workstation, hệ điều hành kali linux và xâydựng công cụ mô phỏng tấn công giả mạo (Phishing attack).

- Cài đặt môi trường ảo hóa Vmware Workstation, hệ điều hành Ubnutu Môphỏng hệ thống HIDS sử dụng OSSEC phát hiện xâm nhập

- Đưa ra được các giải pháp phòng chống an toàn bảo mật hệ thống mạng Cáccông cụ hữu ích giúp phòng chống Phishing

1.3 Giới hạn và phạm vi của đồ án

1.3.1 Về mặt lý thuyết

- Tìm hiểu tổng quan về tấn công mạng

- Tìm hiểu về IDS, HIDS

- Tìm hiểu về tấn công mạng và trình bày về kỹ thuật tấn công giả mạo (Phishingattack)

- Tìm hiểu về hệ thống phát hiện xâm nhập OSSEC trên host (HIDS)

- Xây dựng công cụ tấn công giả mạo trên hệ điều hành Kali linux

- Xây dựng hệ thống hiện xâm nhập trên hệ điều hành Ubnutu

- Các phương pháp, công cụ bảo mật hệ thống mạng một cách tổng quan nhất

1.3.2 Về công cụ hỗ trợ

- VMware Workstation

- Hệ điều hành Kali Linux

- Hệ điều hành Ubuntu

- Công cụ Social – Engineering Toolkit

- Công cụ phát hiện xâm nhập OSSEC

- Xây dựng hệ thống HIDS sử dụng OSSEC

1.4. Kết quả mong muốn đạt được

An toàn bảo mật hệ thống mạng phòng tránh kiểu tấn công giả mạo (Phishingattack):

- Nắm rõ vấn đề về an toàn bảo mật hệ thống thông tin

- Nắm rõ bản chất về các kiểu tấn công giả mạo

- Nắm rõ được bản chất phát hiện hệ thống chống xâm nhập

- Xây dụng được công cụ tấn công giả mạo và mô phỏng tấn công giả mạo

- Xây dựng được công cụ phòng tránh xâm nhập tấn công

- Rút ra được các giải pháp an toàn bảo mật hệ thống mạng

- Hoàn thành báo cáo chi tiết đồ án tốt nghiệp

-CHƯƠNG 2 KIẾN THỨC NỀN TẢNG

Bằng việc sử dụng những kiến thức đã tiếp thu được Trong quá trình tìm hiểu vàhọc hỏi tại thời điểm hiện tại, em đã tổng hợp được kiến thức nền tảng quan trọng trong lýthuyết tổng quan an toàn bảo mật hệ thống mạng, tấn công mạng và xây dựng các giảipháp an toàn bảo mật hệ thống mạng

2.1

2.1 Cơ sở lý thuyết

Để xây dựng được các giải pháp an toàn bảo mật hệ thống mạng cần phải hiểu về tấncông mạng, mục đích tấn công, các đối tượng bị tấn công và các mô hình tấn công Dựavào các yếu tố trên em đã nghiên cứu các tài liệu và nêu ra các trọng điểm chính sau

2.1.1 Tổng quan về an toàn bảo mật hệ thống và tấn công mạng

An ninh mạng (cyber security), an ninh máy tính (computer security), bảo mật côngnghệ thông tin (IT security) là việc bảo vệ hệ thống mạng máy tính khỏi các hành vi trộmcắp hoặc làm tổn hại đến phần cứng, phần mềm và các dữ liệu, cũng như các nguyên nhândẫn đến sự gián đoạn, chuyển lệch hướng của các dịch vụ hiện đang được được cung cấp

An ninh mạng là thực tiễn của việc bảo vệ các hệ thống điện tử, mạng lưới, máy tính, thiết

bị di động, chương trình và dữ liệu khỏi những cuộc tấn công kỹ thuật số độc hại có chủđích Tội phạm mạng có thể triển khai một loạt các cuộc tấn công chống lại các nạn nhânhoặc doanh nghiệp đơn lẻ, có thể kể đến như truy cập, làm thay đổi hoặc xóa bỏ dữ liệunhạy cảm, tống tiền, can thiệp vào các quy trình kinh doanh

An ninh mạng máy tính bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũngnhư bảo vệ chống lại tác hại có thể xảy ra qua truy cập mạng máy tính, cơ sở dữ liệu(SQL injection) và việc lợi dụng lỗ hổng phần mềm (code injection) Do sai lầm củanhững người điều hành, dù cố ý hoặc do bất cẩn, an ninh công nghệ thông tin có thể bị lừađảo phi kỹ thuật để vượt qua các thủ tục an toàn thông qua các phương pháp khác nhau

Khái niệm Tấn công mạng (hoặc tấn công không gian mạng) trong tiếng Anh làCyberattack, được ghép bởi 2 từ: Cyber (thuộc không gian mạng internet) và attack (sự

tấn công, phá hoại).

Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máytính, website, cơ sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức thôngqua mạng internet với những mục đích bất hợp pháp

Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánhcắp, thay đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây giánđoạn, cản trở dịch vụ) hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độcđào tiền ảo)

Tấn công mạng khác với pentest (kiểm thử xâm nhập) Mặc dù cả hai đều chỉ việcxâm nhập vào một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gây hại chonạn nhân, còn pentest là xâm nhập với mục đích tìm ra điểm yếu bảo mật trong hệthống để khắc phục

Một cuộc tấn công không gian mạng có thể nhằm vào cá nhân, doanh nghiệp, quốcgia, xâm nhập vào trong hệ thống, cơ sở hạ tầng mạng, thiết bị, con người dưới nhiều cáckhác nhau và mục tiêu khác nhau [1]

2.1.2 Đối tượng bị tấn công

Đối tượng bị tấn công có thể là cá nhân, doanh nghiệp, tổ chức hoặc nhà nước.Hacker sẽ tiếp cận thông qua mạng nội bộ (gồm máy tính, thiết bị, con người) Trong yếu

tố con người, hacker có thể tiếp cận thông qua thiết bị mobile, mạng xã hội, ứng dụngphần mềm Tuy nhiên, đối tượng phổ biến nhất của các cuộc tấn công mạng là các doanhnghiệp Đơn giản vì mục tiêu chính của những kẻ tấn công là vì lợi nhuận [1]

2.1.3 Mục đích tấn công mạng

Tích cực: Tìm ra những lỗ hổng bảo mật, những nguy cơ tấn công mạng cho cá nhân

và tổ chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từ tin tặc Ngoài

ra, một số hacker tấn công mạng chỉ để mua vui, thử sức hoặc tò mò muốn khám phá cácvấn đề về an ninh mạng

Tiêu cực: Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanhnghiệp, hiện thị quảng cáo kiếm tiền, phá hoại, lừa đảo tống tiền, mua vui, đe dọa nạnnhân thì còn tồn tại một số mục đích khác phức tạp và nguy hiểm hơn: cạnh tranh khônglành mạnh giữa các doanh nghiệp, tấn công an ninh hoặc kinh tế của một quốc gia, tấncông đánh sập một tổ chức tôn giáo, …

Ví dụ 1: Trong cùng một hệ thống mạng LAN (mạng nội bộ), tin tặc có thể xâmnhập vào hệ thống của công ty Hacker đó sẽ đóng vai như một người dùng thật trong hệthống, sau đó tiến hành xâm nhập vào tệp chứa tài liệu bí mật của công ty về tài chính.Tin tặc có thể rút sạch số tiền đó, hoặc thay đối các con số, ẩn file…

Hình 2 1: Mô hình tấn công mạng theo phương pháp truy cập - Access attack

Ví dụ 2: Một học sinh lớp 9 tấn công vào các website sân bay Việt Nam với mụcđích mua vui

Ví dụ 3: Vụ mã độc WannaCry tấn công hàng loạt các doanh nghiệp Việt Nam vàđòi tiền chuộc

Ví dụ 4: Kẻ tấn công có thể đột nhập vào máy tính của bạn thông qua phần mềmgián điệp để nghe lén tin nhắn hoặc xóa file dữ liệu nào đó [1]

2.1.4 Các mô hình tấn công mạng

2.1.4.1 Tấn công bằng phần mềm độc hại (Malware attack)

Tấn công malware là hình thức phổ biến nhất Malware bao gồm spyware (phầnmềm gián điệp), ransomware (mã độc tống tiền), virus và worm (phần mềm độc hại cókhả năng lây lan nhanh) Thông thường, tin tặc sẽ tấn công người dùng thông qua các lỗhổng bảo mật, cũng có thể là dụ dỗ người dùng click vào một đường link hoặcemail (phishing) để phần mềm độc hại tự động cài đặt vào máy tính Một khi được cài đặtthành công, malware sẽ gây ra:

- Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng(ransomware)

- Cài đặt thêm những phần mềm độc hại khác

- Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)

Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống [1]

2.1.4.2 Tấn công giả mạo (Phishing attack)

Phishing là hình thức giả mạo thành một đơn vị - cá nhân uy tín để chiếm lòng tincủa người dùng, thông thường qua email Mục đích của tấn công Phishing thường là đánhcắp dữ liệu nhạy cảm như thông tin thẻ tín dụng, mật khẩu Đôi khi phishing là một hìnhthức để lừa người dùng cài đặt malware vào thiết bị (phishing là một công đoạn trongcuộc tấn công malware) [1]

2.1.4.3 Tấn công trung gian (Man – in – the - middle attack)

Tấn công trung gian (MitM) hay tấn công nghe lén, xảy ra khi kẻ tấn công xâm nhậpvào một giao dịch - sự giao tiếp giữa 2 đối tượng Khi đã chen vào giữa thành công,chúng có thể đánh cắp dữ liệu của giao dịch đó

Loại hình này xảy ra khi:

- Người dùng truy cập vào một mạng Wifi công cộng không an toàn, kẻ tấn công

có thể xâm nhập vào thiết bị của người dùng bằng mạng Wifi đó Những thôngtin người dùng gửi đi hay sử dụng sẽ rơi vào tay kẻ tấn công

- Khi phần mềm độc hại được cài đặt thành công vào thiết bị, một kẻ tấn công cóthể dễ dàng xem và điều chỉnh dữ liệu của người dùng [2]

2.1.4.4 Tấn công từ chối dịch vụ (DoS và DDoS)

DoS (Denial of Service) là hình thức tấn công mà tin tặc sẽ đánh sập tạm thời một

hệ thống, máy chủ hoặc mạng nội bộ Để thực hiện được điều này, chúng thường tạo ramột lượng traffic - request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải,từ đó người dùng không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấncông DoS diễn ra

Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): tin tặc sửdụng một mạng lưới các máy tính (botnet) để tấn công nạn nhân Điều nguy hiểm là chínhcác máy tính thuộc mạng lưới botnet cũng không biết bản thân đang bị lợi dụng để làmcông cụ tấn công [1]

2.1.4.5 Tấn công cơ sở dữ liệu (SQL injection)

Tin tặc sẽ thêm một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấutrúc (SQL), mục đích là khiến máy chủ trả về những thông tin quan trọng mà lẽ ra khôngđược tiết lộ Các cuộc tấn công SQL injection xuất phát từ các lỗ hổng của website, đôikhi tin tặc có thể tấn công chỉ bằng cách chèn một đoạn mã độc vào các ô nhập dữ liệuthông tin là đã có thể tấn công website [1]

2.1.4.6 Khai thác lỗ hổng Zero – day (Zero day attack)

Lỗ hổng Zero-day (0-day vulnerabilities) là các lỗ hổng bảo mật chưa được công bố,các nhà cung cấp phần mềm chưa biết tới và dĩ nhiên, chưa có bản vá chính thức Chính

vì thế, việc khai thác những lỗ hổng này vô cùng nguy hiểm và khó lường, có thể gây hậuquả nặng nề lên người dùng và cho chính nhà phát hành sản phẩm [2]

2.1.4.7 Tấn công rải rác (Distributed attack)

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạnnhư một chương trình Trojan horse hoặc một chương trình back-door với một thành phầntin cậy hoặc một phần mềm được phân phối cho nhiều công ty khác và tấn công user bằngcách tập trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềmtrong quá trình phân phối, Các cuộc tấn công giới thiệu mã độc hại chẳng hạn như backdoor trên một sản phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập tráiphép các chức năng trên hệ thống [1]

2.1.4.8 Tấn công nội bộ (Inside attack)

Các cuộc tấn công nội bộ (insider attack) liên quan đến người dùng ở trong cuộc,chẳng hạn như một nhân viên nào đó chán nản với công ty của mình, … các cuộc tấncông hệ thống mạng nội bộ có thể gây hại hoặc vô hại

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thôngtin một cách gian lận hoặc truy cập trái phép các thông tin [1]

2.1.4.9 Tấn công chuỗi cung ứng

Tấn công chuỗi cung ứng (supply chain attack) là một cuộc tấn công mạng nhắmvào một doanh nghiệp thông qua các nhà cung cấp (provider/ vendor) của doanh nghiệpđó

Hình 2 2: Mô hình tấn công chuỗi cung ứng

Tin tặc tấn công doanh nghiệp thông qua đối tác của doanh nghiệp [2]

Như vậy, doanh nghiệp có chuỗi cung ứng càng lớn hoặc phức tạp, nguy cơ bị tấncông càng cao Có thể thấy tấn công chuỗi cung ứng không dừng lại bất kì một ngànhnghề hay lĩnh vực nào, từ gia công phần mềm tới công nghệ sản xuất, từ tài chính tớichăm sóc sức khỏe, thậm chí các tổ chức chính phủ cũng không ngoại lệ

Hậu quả mà các doanh nghiệp phải gánh chịu rất đa dạng: Rò rỉ thông tin, xáo trộnhoặc gián đoạn hoạt động kinh doanh, doanh thu giảm sút, ảnh hưởng tới uy tín – thươnghiệu, mất cơ hội được đầu tư, thậm chí phải ra hầu tòa…

2.1.4.10 Tấn công phá mã khóa (Compromised – Key Attack)

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để giải mã xử lý các thôngtin bảo mật Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hacker thìđiều này là có thể Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là

mã khóa gây hại

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc

mà không cần phải gửi hoặc nhận các giao thức tấn công Với các mã khóa gây hại, các

hacker có thể giải mã hoặc sửa đổi dữ liệu [2]

Hình 2 3: Hình ảnh tấn công về phá mã khóa

2.1.4.11 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu đểchiếm quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tên người

sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi mộtđiều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tênngười dùng, ngày sinh, địa chỉ, số nhà, để đoán mật khẩu Trong trường hợp có đượcdanh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình

tự động hoá về việc dò tìm mật khẩu này

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mãhoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điểnlớn, theo những quy tắc do người dùng tự định nghĩa Trong một số trường hợp, khả năngthành công của phương pháp này có thể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành

đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy

nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyềncủa người quản trị hệ thống (root hay administrator).

Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ vớichương trình sendmail và chương trình Rlogin của hệ điều hành UNIX

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dònglệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống,

do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy VàSendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là nhữngyếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truynhập hệ thống

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máykhác sử dụng tài nguyên của máy này Trong quá trình nhận tên và mật khẩu của người sửdụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào mộtxâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm đượcquyền truy nhập [2]

2.1.4.12 Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên,mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thườngđược tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thôngqua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC)vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin này cũng cóthể dễ dàng lấy được trên Internet [2]

2.1.4.13 Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫnđường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửi các gói tin IP tớimạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặcmột máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các

gói tin IP phải gửi đi [2]

2.1.4.14 Vô hiệu các chức năng của hệ thống

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nóthiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổchức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trênmạng

Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn

bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tàinguyên để thực hiện những công việc có ích khác [2]

2.1.4.15 Lỗi của người quản trị hệ thống

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của ngườiquản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhậpvào mạng nội bộ [5]

2.1.4.16 Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sửdụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống,hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấncông khác

Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu,

và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đềcao cảnh giác với những hiện tượng đáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào,

và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng caođược độ an toàn của hệ thống bảo vệ [2]

2.1.4.17 Các loại tấn công khác

Ngoài ra, còn rất nhiều hình thức tấn công mạng khác Mỗi hình thức tấn công đều

có những đặc tính riêng và chúng ngày càng tiến hóa phức tạp, tinh vi đòi hỏi các cá nhân,

tổ chức phải liên tục cảnh giác và cập nhật các công nghệ phòng chống mới.

2.1.4.18 Social Engineering Attack

Social Engineering là kết hợp giữa hai từ Social (xã hội) và Engineering (kỹ thuật),thể hiện bản chất của kiểu tấn công này: các mánh khóe, kỹ thuật tấn công nhắm vào bảntính xã hội của con người, thứ mà không hề tồn tại trong máy móc Social EngineeringAttack còn được biết đến với cái tên Tấn công phi kỹ thuật [4]

Hình 2 4: Phân tích về Social Engineering Attack

Bằng cách tác động trực tiếp đến tâm lý con người, xây dựng các mối quan hệ cóchủ đích, Social Engineering khai thác các thông tin và dùng những thông tin đó vào mụcđích riêng (tống tiền, trộm cắp tài sản, đe dọa, phá hủy cá nhân/ tổ chức, …) Khi áp dụngSocial Engineering, tội phạm thường che giấu danh tính và động cơ thực sự bằng một vẻngoài đáng tin cậy khiến cho đối phương mất cảnh giác, từ đó dễ dàng xâm nhập các sơ

hở Social Engineering không trực tiếp sử dụng các phương thức kỹ thuật (phá hủy hệthống, tin tặc) nhưng có thể sẽ dùng các cách thức tinh vi để dẫn đến tấn công bằng kỹthuật

Các bước tấn công:

Hình 2 5: Các bước tấn công Phishing Attack

Bước 1: Thu thập thông tin: Các thông tin thu thập có thể bao gồm danh sách cácwebsite mà các nhân viên hay lãnh đạo của tổ chức thường xuyên truy cập

Bước 2: Lập kế hoạch: Sau khi đã thu thập đầy đủ các thông tin cần có Tin tặc haycác Hacker sẽ lập các kế hoạch tấn công như là: Tìm kiếm các trang web mà chúng có thểxâm nhập

Bước 3: Tiếp cận mục tiêu: Tiếp cận mục tiêu để lấy các thông tin khó lấy ví dụ hỏimục tiêu bằng các câu hỏi đã được setup trong lúc đăng ký tài khoản hay lợi dụng ngườidùng không nắm được bản chất an ninh mạng và đánh vào tâm lý để lấy và khai thác cácthông tin

Bước 4: Khai thác thông tin: Khi đã lấy được một thông tin, chỉ cần lấy được mộtthông tin điều kiện cần thiết Các tin tặc hay hacker sẽ khai thác được các thông tin liênquan về trạng thái hay các thông tin tài khoản đó Và từ đó lập ra kế hoạch tấn công vàocác điểm yếu của chúng ta mà chúng đã khai thác được

Bước 5: Tấn công: Lên được kế hoạch và lấy các thông tin cần thiết Các tin tặc hayhacker sẽ tấn công vào điểm yếu nhất của bạn mà điểm yếu đó chính là những thứ chúngkhai thác được từ bạn

Bước 6: Đưa ra các thông tin: Khi đã tấn công xong Xin chúc mừng bạn là bạn đã

bị hack Bất kể là hack tài khoản hay trang web, chúng đều có hết các thông tin của bạn từ

họ tên, gia đình , Từ các mức độ hack tấn công và theo mức lấy thông tin mang đi báncho người khác hay công khai ra ngoài thì rất là nguy hiểm Vì bạn có thể bị mạo danh bất

kể lúc nào, từ đó họ sẽ liên hệ với bạn để lấy tiền hay ra các điều kiện để bạn thỏa mãnchúng, đổi lại chúng sẽ không lợi dụng lại bạn

Phishing cũng là hình thức Social Engineering phổ biến nhất mà kẻ tấn công tạo racác email/ trang web mạo danh các công ty, tổ chức (ngân hàng, bộ công thương, )/ trangmạng xã hội nổi tiếng (Facebook, Twitter,…) hoặc ứng dụng để người dùng nhập thôngtin cần thiết, thực hiện các lệnh chuyển tiền…

2.1.5 Kỹ thuật tấn công giả mạo (Phishing attack)

2.1.5.1 Tấn công giả mạo

Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo

thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng.Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến,

ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như:tài khoản và mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quýgiá khác

Phương thức tấn công này thường được tin tặc thực hiện thông qua email và tinnhắn Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăngnhập Nếu người dùng bị lợi dụng bởi các yêu cầu trên thì tin tặc sẽ có được thông tinngay tức khắc [3]

2.1.5.2 Lịch sử của tấn công giả mạo

Tài liệu đầu tiên sử dụng từ “phishing” vào năm 1996 Hầu hết mọi người cho rằng

nó được bắt nguồn từ việc phát âm giống từ fish (câu cá), có nghĩa là "câu, moi thôngtin"

Ngoài việc ăn trộm thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên lừa đảo trựctuyến (phisher) có thể lây nhiễm máy tính với virus và thuyết phục mọi người tham giamột cách vô thức vào việc rửa tiền.

Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngânhàng, công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay Những email nàytrông rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết lộ thông tin cá nhân Tuynhiên, thông báo dạng email chỉ là một phần nhỏ của lừa đảo trực tuyến [3]

2.1.5.3 Cách thức hoạt động tấn công giả mạo

Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh nghiệp nào lànạn nhân và xác định cách lấy địa chỉ email khách hàng của doanh nghiệp đó Chúngthường sử dụng cách gửi nhiều email và phương pháp thu thập địa chỉ email như nhữngspammer

Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ tìm cách đểphát tán email và thu thập dữ liệu Thông thường, chúng sử dụng địa chỉ email và mộttrang web nào đó

Tấn công: Phisher sẽ gửi một thông báo giả mạo, như đến từ một nguồn đáng tincậy

Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang Web hoặccác cửa sổ pop-up

Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúng thu thậpđược để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiện lừa đảo

Nếu những kẻ lừa đảo trực tuyến muốn sắp xếp một cuộc tấn công khác, hắn sẽ xácđịnh tỷ lệ thành công và thất bại của một vụ lừa đảo đã thành công rồi bắt đầu lại quátrình [3]

2.1.6 Các phương thức tấn công phishing

2.1.6.1 Giả mạo email

Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo email Tin tặcsẽ gửi email cho người dùng dưới danh nghĩa một đơn vị/ tổ chức uy tín, dụ người dùngclick vào đường link dẫn tới một website giả mạo và “mắc câu”

Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiếtnhỏ, khiến cho nhiều người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công

Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố gắng làmgiống email bằng nhiều yếu tố:

- Địa chỉ người gửi (VD: địa chỉ đúng là sales.congtyA@gmail.com thì địa chỉ giảmạo có thể là sale.congtyA@gmail.com)

- Chèn Logo chính thức của tổ chức để tăng độ tin cậy

- Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font chữ, …)

- Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text

là vietcombank.com.vn nhưng khi click vào lại điều hướngtới vietconbank.com.vn)

- Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độtin cậy

Hình 2 6: Mánh khóe gửi mail tấn công Phishing nạn nhân

Mánh khóe tinh vi của kẻ tấn công Phishing khiến nạn nhân dễ dàng tin tưởng vàđăng nhập [3]

2.1.6.2 Giả mạo Website

Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả một Landingpage chứ không phải toàn bộ website Trang được làm giả thường là trang đăng nhập đểcướp thông tin của nạn nhân Kỹ thuật làm giả website có một số đặc điểm sau:

- Thiết kế giống tới 99% so với website gốc

- Đường link (url) chỉ khác 1 ký tự duy nhất VD: reddit.com (thật)

vs redit.com (giả), google.com vs gugle.com, microsoft.com vs mircosoft.com hoặc verify-microsoft.com

- Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá nhân vàowebsite (call-to-action) [5]

2.1.6.3 Vượt qua các bộ lọc Phishing

Hiện nay, các nhà cung cấp dịch vụ email như Google hay Microsoft đều cónhững bộ lọc email spam/ phishing để bảo vệ người dùng Tuy nhiên những bộ lọc nàyhoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát hiện xem email đó cóphải phishing hay không Hiểu được điều này, những kẻ tấn công đã cải tiến các chiếndịch tấn công Phishing lên một tầm cao mới Chúng thường sử dụng ảnh hoặc video đểtruyền tải thông điệp lừa đảo thay vì dùng text như trước đây Người dùng cần tuyệt đốicảnh giác với những nội dung này [3]

2.1.6.4 Spear Phishing

Spear phishing là loại hình tấn công dựa vào các thông tin của nạn nhân (cá nhậnhoặc tổ chức) Sau đó gửi email lừa đảo bằng các thông tin cụ thể để đánh lừa họ (như xácnhận lại mật khẩu) Hoặc có thể lợi dụng những người cùng làm việc nơi bạn để giả mạo

Để thực hiện được spear phishing hacker sẽ cần thu thập được thông tin của mục tiêu Sau

đó sẽ lên kế hoạch để tấn công

2.1.6.7 Whaling Attack

Whaling là loại lừa đảo nhắm trực tiếp vào những người có vị trí cao trong tổ chứcnào đó Hacker sẽ phải lên kế hoạch tỉ mĩ và kĩ lưỡng, vì đây là những mục tiêu lớn (khólừa) Những thông tin hacker cần sẽ phải thật chính xác và chi tiết Thường chúng sẽ giảdanh môt nhân viên cấp cao hơn và yêu cầu thực hiện mệnh lệnh của chúng [3]

2.1.7 Tổng quan về hệ thống phát hiện xâm nhập IDS

2.1.7.1 Giới thiệu về IDS

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báocủa James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu cáchành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạmdụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiệnxâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sửdụng tại máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫnchưa được phổ biến, một số hệ thống IDS bắt đầu phát triển dựa trên sự bùng nổ của côngnghệ thông tin Đến năm 1997, IDS mới được biết đến rộng rãi và thực sự đem lại lợinhuận với sự đi đầu của công ty ISS Một năm sau đó, Cissco nhận ra tầm quan trọng củaIDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel [6]

2.1.7.2 Định nghĩa về IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thống phầncứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện sảy ra, giám sát lưuthông mạng, và cảnh báo các hoạt động khả thi cho người quản trị

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp

lí để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện những hoạt động xâmnhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhập bằng việckiểm tra sự đi lại của mạng, những host log, những system call và những khu vực kháckhi phát ra những dấu hiệu xâm nhập

IDS cũng có thể phân biệt giữa tấn công từ bên trong hay tấn công từ bên ngoài IDS

phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như phần mềm diệtvirus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên so sánh lưu thôngmạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệukhác thường Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêucầu sau:

- Tính chính xác (Accuracy): IDS không được coi những hành động thông thườngtrong môi trường hệ thống là những hành động bất thường hay lạm dụng (hànhđộng thông thường bị coi là bất thường được gọi là false positive)

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhậptrái phép trong thời gian thực, tức là hành động xâm nhập trái phép phải đượcphát hiện trước khi xảy ra tổn thương nghiêm trọng đến hệ thống

- Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại các cuộcxâm nhập trái phép

- Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trạng thái xấunhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống mà các sựkiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sựphát triển và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăngtrưởng của số lượng sự kiện [6]

2.1.7.3 Những mối đe dọa về bảo mật

Mối đe dọa không có cấu trúc: Công cụ hack và script có rất nhiều trên Internet, vìthế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa.Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượtkhỏi tầm bảo vệ Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies(những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả nănglập trình) hay những người có trình độ vừa phải Hầu hết các cuộc tấn công đó là vì sởthích cá nhân, nhưng củng có nhiều cuộc tấn công có ý đố xấu Những trường hợp đó cóảnh hưởng xấu đến hệ thống và hình ảnh của một công ty

Mối đe dọa có cấu trúc: Structured Threat là các hành động cố ý, có động cơ và kỹthuật cao Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu cáccông cụ Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và

sử dụng các kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu

Mối đe dọa từ bên ngoài: External Threat là các cuộc tấn công được tạo ra khi không

có một quyền nào trong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có

Hình 2 7: Mô hình mô phỏng về IDS

thể thực hiện các cuộc tấn công như vậy.

Mối đe tọa từ bên trong: được sử dụng để mô tả một kiểu tấn công được thực hiện từmột người hoặc một tổ chức có một vài quyền truy cập mạng của bạn Các cách tấn côngtừ bên trong được thực hiện từ một khu vực được tin cậy trong mạng Mối đe dọa này cóthể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của mộtcông ty Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởnghoàn toàn vào các ACL (Access Control Lists) và quyền truy cập Server để quy định cho

sự bảo mật bên trong Quyền truy cập Server thường bảo vệ tài nguyên trên Server nhưngkhông cung cấp bất kỳ sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường đượcthực hiện bở các nhân viên bất bình, muốn quay mặt lại với công ty Khi vành đai củamạng được bảo mật, các phần tin cậy bên trong có khuynh hướng nghiêm ngặt hơn Khimột kẻ xâm nhập vượt qua lớp bảo vệ cứng cáp đó của mạng, mọi chuyên còn lại thườngrất đơn giản [6]

2.1.8 Tìm hiểu về HIDS

2.1.8.1 Khái niệm HIDS (Host – Based IDS)

HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host).Hệthống phát hiện xâm nhập dựa trên máy chủ (HIDS) là hệ thống giám sát hệ thống máytính được cài đặt để phát hiện sự xâm nhập hoặc sử dụng sai và phản hồi bằng cách đăngnhập hoạt động và thông báo cho cơ quan được chỉ định Một HIDS có thể được coi làmột tác nhân theo dõi và phân tích xem bất cứ điều gì hay bất cứ ai, dù là nội bộ hay bênngoài, đã phá vỡ chính sách bảo mật của hệ thống Điều làm nên sự khác biệt của HIDS

so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khác nhau như các máychủ, máy trạm làm việc hoặc máy notebook Phương pháp này giúp các tổ chức linh độngtrong khi NIDS không thích hợp hay vượt ra khỏi khả năng của nó

HIDS được cài đặt như một agent trên một host cụ thể HIDS phân tích log của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các

vi phạm bảo mật và các chính sách đã được đặt ra Nếu thấy có vi phạm HIDS có thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và