2.4 Ưu điểm và nhược điểm của IDS Ưu điểm IDS e _ Phát hiện sớm các hoạt động xâm nhập e Cảnh báo và phản ứng nhanh e Ghi lại và phân tích Hạn chế ®_ Sai sót và tín hiệu gia © Ung pho v
Trang 1
[re
TRUONG ĐẠI HỌC CONG THUONG THANH PHO HO CHI MINH
KHOA CONG NGHE THONG TIN
BAO CAO HOC PHAN: BAO MAT MAY TINH
DE TAI: INTRUSION DETECTION
NHOM: K-ICM Tén thanh vién
Phan Tuan Giang Nguyễn Bảo Hân Lương Tân Hùng Trần Tiên Hoài Nam Phạm Hải Nguyên Phạm Nguyễn Duy Tâm Nguyễn Tất Thắng Ninh Bá Thanh Tran Thi Thao Vy
Trang 290:i0/9)) 601g Ô 1
LL Kai na e 1
1.3 s0 na 1 1.4 r0) n2 5Ö 1 CHUONG 2 Intrusion Detection System(IDS) cccccccccssecsseceesteteeeeseneeneneeneees 3 2.1 Kai na e 3 2.2 Chức năng chính của IDS là gì Làn HH HH HH kh, 3
2.3 IDS gồm những loại nào -¿ 2-2-5 +2+++x22EE2Ex+E2Ex2Ex2xSEAezrrsrrrrea 3
2.4 Ưu điểm và nhược điểm của IDS ác St St SE 1 TEEkEE E11 11111 trkrr 4 2.5 Quy trình hoạt động của IDS - Ác SH HH TH HH Hà Hà HH rà 4
Zm Ketan ee ố ẽ ẽ ẽ 4
CHUONG 3 CAC CACH TIEP CAN PHAN TICH TRONG PHAT HIỆN XÂM
3.1 6068 8n "a5 6 3.2 Phát hiện bất thường (Anomaly Detection) ¿2+ csszcs+zxezsszxes 6 3.2.1 Nguyên lý hoạt động HH HH HH TH HH TH TH ng Hà kệ 6 3.2.2 Các kỹ thuật phát hiỆn - Ă SH SH HT TH Hung Hit 6 3.2.3 Ưu điểm và nhược điểm cá cà tt 1H11 T111 111111111111 E1 1E re 7 3.2.4 Thách thức của Anomaly Detectlon - ác 2 2.24 Hà, 7 3.3 Phát hiện dựa trên chữ ký hoặc quy tac (Signature/Heuristic Detection) 8 3.3.1 Nguyên lý hoạt động HH HH HH HH HH TH TH ng Hàn 8 3.3.2 Ưu điểm và nhược điểm cá Sát t1 H T111 T111 E111 11 1111111 E1 1E krrey 8 3.3.3 Thách thức của Signature Detection occ eee eee eeeeeeeeeteeteanees 8
4.1 6080:0001 ở 9
4.2 _ Kiến Trúc HIDS và Nguồn Dữ Liệu 2-©52©52©2+2cx+zxzsezxxsrxrrea 9
4.3 Các Phương Pháp Phát Hiện Xâm Nhập Án He 9 4.4 Hệ Thống HIDS Phân Tán (D-HIDS) -. 2222 2252sezxz+zxezsee 10
4.5 Thách Thức và Hạn Chế . -2 + 212211.211112.21 c1 ce 10
4.6 Xu Hướng Phát Triển Của HIDS 2-2-2 +72++s+2cx+xsrzxsrxxsscee 10
CHUGNG 5 NETWORK-BASED INTRUSION DETECTION (HE THONG PHAT Iš1I)8.9.9/01>/218:40)8.//.0)i 600115 11 5.1 _ Các loại cảm biến mạng ( Types of Network Sensors ) - 11
Trang 35.2 Trién khai cam bién NIDS ( NIDS Sensor Deployment ) 11 5.3 Kỹ thuật phát hiện xâm nhập ( Intrusion Detection Techniques ) 11 3.4 Phát hiện dựa trên chữ ký (Signature Detection) -c-<.<<<+2 11 5.5 Các kỹ thuật phát hiện bat thugng (Anomaly Detection Techniques) 12 5.6 Phân tích giao thức có trạng thái (Stateful Protocol Analysis - SPA) 12 3.7 Ghi nhật ký cảnh báo (Logging of A ÏeTfS) - Án S HH Hy 12 CHUONG 6 Phát Hiện Xâm Nhập Phân Tán Hoặc Lai (Distributed or Hybrid
6.1 Thách thức đối với các hệ thống phát hiện xâm nhập truyền thống 13
6.2 Giải pháp: Hệ thống phân tán và hợp tác -:-s-c+szxssrxerseee 13
6.3 Kiến trúc và hoạt động của hệ thống phân tán -2 se 15
6.4 Lợi ích của cách tiếp cận phân tán 2-++-++x++zx+zxvzsezxxrxerxeee 15
—".‹.') .ẽẽ.ẽ 16
Exchange Format - IDMEE) - LH HH HH HH KH KH HH KT H0 Tá Hà và 17 7.1 600i 8 5 17
051019)166.00;i9)/:4.011 1155 19 8.1 600i 8 5 19
lo ẻn ố ố 20 8.5 Triển khai Honeypot tại các vị trí khác nhau -2 -z5-s+ssz=s+¿ 21 8.5.1 Honeypot bên ngoài tường lửa (VỊ tIÍ Í) các HH Hệ, 21 8.5.2 Honeypot trong vùng DMZ (VỊ tTÍ 2) ác cà ch HH HH rệt 21 8.5.3 Honeypot trong mạng nội bộ (VỊ tTÍ 3) cá ch HH Hệ, 21 8.6 Honeyfiles - Công nghệ liên quan mới nỗi -. - 22 2©5++sszxs+cs+2 22 CHUONG 9 EXAMPLE SYSTEM: SNORIT -. 5ĂcSc 2S He 23
9.1 Đặc điểm nỗi bật của SnorL Sà c1, 2H xe 23
9.2 4.0 iu 80888077 5 23
9.4 — Quy tắc SnOtt 2c 1212211211 111112112121121111 1121111111 rrre 25 9.4.1 Tiêu để quy tắc SnOF( 222 +-55+22+2E32EES2x2EE2E32212323.21x222 2e 25
9.4.2 Tùy chọn trong quy tắc SnOrL 2222 +22 Sx++2v2ExExxvsrsrxxrsrrxeee 25
95 — Ưu và nhược điểm Ăn ke SE S111 1111 1E11111111111111111111111111252x 552 26
Trang 4CHƯƠNG 10 Demo Phát Hiện Bất Thường (Anomaly Detection) - 28
liệu
10.1 Giải thích mã 22-222 S22SE2E2112218212112112121121121.121 c2 e 28 10.1.1 Giới thiệu về Dữ liệu 2- 22 ©5+©522522E++2x2EE2ExeEerkerkerkrsrkrrrcee 28 10.1.2 Chia Dit Ligu Thanh Tập Huấn Luyện và Tập Kiểm Tra Chuẩn hóa dữ
29
10.1.3 Huấn Luyện Mô Hình Isolation Foresi -. -s2s2ss57++csz- 29 10.1.4 Dự Đoán và Đánh Giá Kết Quả s5 5 CS S2ESE2E11122121121211 21 x6 30 10.1.5 Kiểm Tra Mẫu Mới - 22-5222 2222222322x23E 21122152121 30 10.1.6 Hiên Thị Dữ Liệu và Mẫu Mới -. 2-2252 ©.++z22xzxerrrsrsrrreee 31
Trang 57-1 Mô hình trao đổi tin nhắn phát hiện xâm nhập . -:-.2 s2 18
10-1 Gia lap dit 0n 1 29
10-2 Chia dữ liệu thành train va testo ccccccscsescccsescseseeeseseseseeeeeesaeeeeceeees 29
10-3 Chuan héa dit liQu oo cecccscssscssesssessseseesessesssesessesssessseseesesssesesesesneeseeseesneass 29
10-4 Huan luyén m6 Binh cece cscs esses sessessessscsseesessessscscessssnessseseessesseeseess 30 10-5 Dự đoán và đánh giá két Qua ceccccccccssecssessesssestessssessesssestessessseseessesseeseess 30
10-6 Kiểm tra mẫu mới ‹.: 2+<e4.11,2221102 00110 31 10-7 Vẽ biểu đồ - 0,1,0 011 10.1 31
10-8 Bidu đồ kết quả 5:52 22712212211 21322122123121112122121.11 2211 31
1-1 So sánh gitta HACKER va CRACKER o.oo cece cette enee teat eaetaae 2 3-1 Ưu nhược điểm của Anomaly Detection +22 2z 5++s+zxz+zxszszzse2 7 3-2 Ưu nhược điểm của Signature/Heuristic Detection -. + 5+: 8
Trang 6CHUONG 1 INTRUDERS
11 Khai niém
Kẻ xâm nhập (intruder): thuong duoc goi 1a hacker hoac cracker
e Masquerader(ké gia dang): mot ca nhan không được phép sử dụng máy tínhbvà
xâm nhập vào các biện pháp kiểm soát quyền truy cập của hệ thống đề khai thác
tài khoản của người dùng hợp pháp
e Misfeasor(kẻ gian): một người dùng hợp pháp truy cập dữ liệu, chương trình hoặc tài nguyên mà quyền truy cập đó không được phép hoặc được phép truy
cập đó nhưngblạm dụng các đặc quyền của mình
e _ Clandestine user(người dùng bí mật): Một cá nhân nắm quyền kiểm soát giám
sát hệ thốngbvà sử dụng quyền kiểm soát này đề trốn tránh kiểm toán và kiểm
soát quyền truy cập hoặc để ngăn chặn việc thu thập kiểm toán
Kẻ giả dạng có khả năng là người ngoài cuộc
Kẻ gian thường là người trong cuộc
Người dùng bí mật có thê lả người ngoài cuộc hoặc người trong cuộc
12 Mục đích
Các cuộc tấn công của kẻ xâm nhập có thẻ từ vô hại đến nghiêm trọng
Ở mức độ vô hại, có rất nhiều người chỉ muốn khám phá internet và xem có gì ở đó
Ở mức độ nghiêm trọng là những cá nhân đang có gắng đọc dữ liệu đặc quyên, thực hiện các sửa đối trái phép đối với dữ liệu hoặc phá vỡ hệ thống
13 Hacker
Định Nghĩa: "hacker" là thuật ngữ chỉ những người có kỹ năng lập trình và hiểu biết
sâu sắc về hệ thông máy tính, mạng Họ thích khám phá, tìm hiệu cách hệ thông hoạt động,
vượt qua các giới hạn kỹ thuật một cách sáng tạo, thường là để học hỏi, cải tiến hoặc vì thử
Kết quả: Giúp các tô chức vá lỗi, củng cố hệ thống phòng thủ, nâng cao tinh trang bao
mat (security posture) Ho làm việc vì mục tiêu bởo vệ
Định nghĩa: Thuật ngữ "cracker" được cộng đồng hacker (theo nghĩa gốc) đặt ra đề
phân biệt họ với những kẻ sử dụng kỹ năng máy tính cho mục đích xấu, bất hợp pháp Cracker
déng nghia voi Black Hat Hacker (Hacker Mai Den)
1
Trang 7Mục đích: Xâm nhập trái phép vào hệ thống máy tính, mạng để phá hoại, đánh cắp
thông tin nhạy cảm (dữ liệu cá nhân, tài chính, bí mật kinh doanh), tong tién (ransomware), trục
lợi tài chính, gián điệp mạng, hoặc đơn giản là đề thê hiện
Hoạt động: Khai thác lỗ hồng (exploit vulnerabilities) mà không được phép, bẻ khóa
phân mềm (software cracking), tan công từ chối dịch vụ (DDo®S), lừa đảo (phishing), phát tán
mã độc (malware), truy cập và sửa đôi dữ liệu trái phép
Kết quả: Gây thiệt hại cho cá nhân và tố chức (mát dữ liệu, gián đoạn hoạt động, tốn
thất tài chính, ảnh hưởng uy tín), vi phạm pháp luật nghiêm trọng
Bang 1-1 So sanh gitta HACKER va CRACKER
° tìm lô hông đê vá lôi thông tin, gián điệp
Tính Hợp Pháp Hợp pháp (có sự cho phép rõ | Bât hop pháp (không có sự
Thuật Kh
Trang 8
CHUONG 2 INTRUSION DETECTION SYSTEM(IDS)
2.1 Khainiém
IDS là viết tắt cua “Intrusion Detection System” (Hé théng Phat hién x4m nhập) IDS
là một công cụ hoặc hệ thông phân mêm giúp bảo vệ và cảnh báo khi có sự xâm nhập vào hệ thông
Intrusiow Detectiow Systew
mật hoặc một phan mềm riêng biệt được triển khai để giám sát và phát hiện các mối đe dọa và
cuộc tấn công vào hệ thống
2.2 Chức năng chính của IDS là gì
Chức năng chính của IDS (Intrusion Detection System) là gì? Hệ thống này có nhiệm
vụ giám sát và phát hiện các hành vi xâm nhập hoặc bất thường trong hệ thống mạng Các chức năng chính bao gồm:
e - Giám sát luồng dữ liệu mạng
e _ Phát hiện các mẫu tấn công
e Ghi lại và báo cáo
e - Hỗ trợ phản ứng nhanh
2.3 IDS gồm những loại nào
Hiện nay, IDS được phân loại gồm những hệ thống sau:
Trang 9e - Network IDS(NIDS): Là hệ thống phát hiện xâm nhập mạng NIDS giám sát và
phân tích lưu lượng mạng đê phát hiện các hoạt động xâm nhập hoặc bất thường
trên mạng
Nod Network IDS được triên khai tại các điểm truy cập vào mạng hoặc trong
các phân đoạn mạng cụ thê đề giám sát và phát hiện các hoạt động xâm nhập
¢ Host IDS (HIDS): La hé thong phat hiện xâm nhập trên máy chủ hoặc thiết bị cuối HIDS giám sát và phân tích hoạt động của một máy chủ hoặc thiết bị đơn
lẻ để phát hiện các hoạt động xâm nhập hoặc bất thường trên máy chủ 2.4 Ưu điểm và nhược điểm của IDS
Ưu điểm IDS
e _ Phát hiện sớm các hoạt động xâm nhập
e Cảnh báo và phản ứng nhanh
e Ghi lại và phân tích
Hạn chế
®_ Sai sót và tín hiệu gia
© Ung pho voi tấn công tỉnh vi
¢ Doi hdi nguồn tài nguyên
2.5 Quy trình hoạt động của IDS
Một host tạo ra một gói tin mạng
Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó được gửi
ra khỏi mạng cục bộ (cảm biên này cân phải được đặt sao cho nó có thê đọc tất cả các gói tin)
Chương trình phát hiện nằm trong bộ cảm biến kiêm tra xem có gói tin nào có dấu hiệu
vi phạm hay không Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra và gửi đến giao
diện điều khiển
Khi giao diện điều khiến lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một người
hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa số popup, trang web v.v ) Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này
Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ hoặc trên
cơ sở dữ liệu)
Một báo cáo tóm tắt về chỉ tiết của sự cổ được tao ra
Cảnh báo được so sánh với các dữ liệu khác dé xác định xem đây có phải là cuộc tấn
công hay không
2.6 Kếtluận
Hệ thống phát hiện xâm nhập (IDS) đóng vai trò then chốt trong bối cảnh kỹ thuật số
ngày nay đây rẫy các mối đe dọa mạng đang gia tăng và phát triên Bằng cách hiệu các khía
4
Trang 10cạnh khác nhau của IDS, bao gỗm các loại, thành phân và vai trò của nó trong việc củng cô an
ninh mạng, các tô chức có thê tự trang bị đê giảm thiêu các cuộc xâm nhập tiêm ân, bảo vệ tài
Trang 11CHƯƠNG 3 _ CÁC CÁCH TIEP CAN PHAN TÍCH TRONG PHAT HIEN
XÂM NHẬP 3.1 Giới thiệu
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) sử dụng nhiều phương
pháp khác nhau đề phân tích đữ liệu từ các cảm biến, qua đó phát hiện hoạt động xâm nhập Hai cách tiếp cận chính là:
« _ Phát hiện bất thường (Anomaly Detection): Xây dựng mô hình hành vi bình thường
của hệ thống dựa trên đữ liệu huấn luyện, sau đó so sánh với hành vi hiện tại đê phát hiện dấu hiệu xâm nhập
« _ Phát hiện dựa trên chữ ký hoặc quy tắc (Signature/Heuristie Defection): So khớp
dữ liệu quan sát với các mẫu tắn công đã biết hoặc quy tắc dé phát hiện xâm nhập
Intrusion Detection Techniques
Misuse
based
Ỹ 7 Ỷ T 1
Leaking Activity
Phương pháp này gồm bai giai đoạn:
« - Giai đoạn huấn luyện: Thu thập dữ liệu về hành vi bình thường của hệ thống và xây dựng mô hình chuẩn
« - Giai đoạn phát hiện: So sánh hành vi hiện tại với mô hình bình thường để phát hiện
dấu hiệu bất thường
3.2.2 Các kỹ thuật phái hiện
Theo [GARC09], có ba nhóm kỹ thuật chính:
Phương pháp thống kê (Statistical Methods):
e - Sứ dụng mô hình thống kê đề xác định hành vi bình thường so với bất thường
¢ Bao gồm mô hình đơn biến (univariate), đa biến (multivariate), chuỗi thời gian
(time-series)
Trang 12e Ví dụ: Nếu một người dùng thường chỉ đăng nhập vào giờ hành chính, nhưng
đột nhiên có hoạt động vào nửa đêm từ một địa chỉ IP lạ, hệ thống sẽ gắn cờ là
bat thường
Phương pháp dựa trên kiến thức (Knowledge-Based Methods):
e - Sử dụng tập hợp các quy tắc đề xác định hành vi hợp lệ
e - Có thê áp dụng các công cụ như máy trạng thái hitu han (finite-state machine)
để biểu diễn các kịch bản hoạt động bình thường
e - Ví dụ: Một hệ thống có thê thiết lập quy tắc rằng "một tài khoản không được
phép truy cập dữ liệu nhạy cảm từ mạng bên ngoài”
Phương pháp học máy (Machine Learning Methods):
e - Tự động tìm kiếm mô hình phân loại từ dữ liệu huấn luyện
e© Các kỹ thuật bao gồm:
» Mạng Bayes (Bayesian Networks): Mô hình hóa xác suất giữa các sự
kiện để xác định bất thường
» M6 hinh Markov: Str dung chuỗi trang thai dé phát hiện các hành vi bất
thường dựa trên xác suất chuyên đôi giữa các trạng thái
dầu hiệu xâm nhập
« Logic mo (Fuzzy Logic): Cho phép xir ly thông tin không chắc chắn, phù
hợp với dữ liệu có độ nhiều cao
» _ Thuật toán đi truyền (Genetic Algorithms): Tao ra các quy tắc phân loại
bằng cách mô phỏng quá trình tiến hóa tự nhiên
thuộc cụm nào, có thé coi 1A bat thường
3.2.3 Tu điểm và nhược điểm
Bang 3-1 Ưu nhược điểm của Anomaly Detection
Phương pháp Ưu điềm Nhược điềm
Thống kê Dễ hiệu, tính toán nhanh | Khó chọn chỉ số thích hợp
Kiên thức | Linh hoạt, độ chính xác cao Yéu cau chuyên gia
3.2.4 Thach thc cua Anomaly Detection
Khó khăn trong thu thập dữ liệu: Cần dữ liệu hảnh vi bình thường phong phú đề huấn luyện hệ thống
Tỉ lệ báo động giả cao: Một số hành vi bình thường có thê bị nhằm lẫn là xâm nhập.
Trang 13Khả năng thích nghi kém: Khi hệ thống thay đổi, mô hình cần phải cập nhật thường
« - So khớp với các mẫu tắn công đã biết
« _ Sử dụng tập hợp các chữ ký tắn công được cập nhật liên tục
« _ Hệ thống như Snort có thể quét lưu lượng mạng và so sánh với các mẫu tắn công phổ
biến
3.3.2 Ưu điểm và nhược điểm
Bang 3-2 Uu nhuoc diém cia Signature/Heuristic Detection
Phuong pháp Uu diém Nhược điểm
mộ công đã biết zero-day
Quy tac Linh hoạt, có thê mở rộng Cần chuyên gia thiết kế quy tắc
3.3.3 Thách thc cua Signature Detection
Cập nhật liên tục: Chữ ký tắn công mới phải được cập nhật đề duy trì hiệu quả Không phát hiện được tắn công mới: Chỉ phát hiện những gì đã biết
Tài nguyên xử lý: Nếu bộ chữ ký quá lớn, hệ thống có thể chậm
Trang 14CHUONG 4 HỆ THÓNG PHÁT HIEN XAM NHAP DUA TREN MAY
CHU (HIDS)
41 Giới Thiệu
Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) cung cấp một lớp bảo mật quan trọng cho các hệ thống nhạy cảm như máy chủ cơ sở dữ liệu và hệ thống quản trị Không giống như hệ thống phát hiện xâm nhập dựa trên mạng (NIDS), HIDS hoạt động ở cấp độ máy chủ,
phân tích hành vi hệ thống đề phát hiện các hoạt động trái phép Báo cáo này sẽ trình bày các
thành phần chính, phương pháp phát hiện, ưu điểm, thách thức và triên vọng của HIDS 4.2 Kiến Trúc HIDS và Nguồn Dữ Liệu
HIDS dựa vào nhiều nguồn dữ liệu dé phát hiện các hành vi bất thường và tắn công độc
hại trên hệ thống, bao gồm:
« Dau Vết Cuộc Gọi Hệ Thống (System Call Traces): Theo dõi chuỗi các cuộc
gọi hệ thống của các tiến trình Hiệu quả trên Linux/Unix nhưng gặp khó khăn
trên Windows do sử dụng nhiều thu vién DLL
động của người dùng và các sự kiện hệ thống Hữu ích nhưng có thể bị tin tặc sửa đôi
¢ Kiém Tra Tính Toàn Vẹn Tập Tin (File Integrity Checksums): So sánh giá trị băm của các tệp quan trọng đề phát hiện sự thay đối trái phép Công cụ phố biến như Tripwire sử dụng phương pháp nảy
e Giám Sát Truy Cập Registry: Một phương pháp dành riêng cho Windows đề theo dõi thay đối trong Registry, nhưng hiệu quả hạn chế
43 Các Phương Pháp Phát Hiện Xâm Nhập
HIDS sử dụng hai phương pháp chính đề phát hiện các hoạt động đáng ngờ:
« _ Phát Hiện Dựa Trên Bất Thường (Anomaly-Based Detection):
o Xây dựng mô hỉnh hành vị bình thường và phát hiện các sai lệch
« STIDE (Sequence Time-Delay Embedding)
« M6 hinh an Markov (HMM)
« Mang no-ron nhan tao (ANN)
« May vector hé tro (SVM)
¢ - Phát Hiện Dựa Trên Chit Ky Va Heuristic (Signature/Heuristic-Based Detection):
nhật
Trang 154.4 Hệ Thống HIDS Phân Tán (D-HIDS)
Các tố chức hiện đại triển khai HIDS phân tan dé giám sát nhiều máy chủ trong mạng
Cấu trúc bao gồm:
Mô-đun Tác Nhân Máy Chú (Host Agent Module): Thu thap va truyén dir liệu bảo mật từ từng máy
M6-dun Giam Sat Mang LAN (LAN Monitor Agent Module): Phan tich luu
lượng mạng đề tìm dấu hiệu bất thường
Mô-đun Quản Lý Trung Tam (Central Manager Module): Tong hop va phan
tích dữ liệu dé phát hiện tắn công phức tạp
HIDS phân tán tăng cường bảo mật nhưng cũng đặt ra thách thức về quản lý đữ liệu và bảo mật thông tin
4.5 Thach Thức và Hạn Chế
Mặc dù có nhiều lợi ích, HIDS gặp phải một số thách thức:
Tác Động Hiệu Suất: Giám sát hệ thống có thê làm chậm hiệu suất
Kỹ Thuật Né Tránh: Tin tặc có thê ngụy trang hoạt động độc hại đề tránh bị phát hiện
Cấu Hình Phức Tap: Can tinh chỉnh đề giảm thiêu cảnh báo giả
Vấn Đề Mở Rộng: Quản lý nhiều HIDS trong một hệ thống phân tán rất phức
tap
4.6 Xu Hướng Phát Triển Của HIDS
Các công nghệ mới đang định hình tương lai của HIDS:
Ứng Dụng Trí Tuệ Nhân Tạo: Cải thiện khả năng phát hiện bằng mô hình AI
Phân Tích Hanh Vi: Nâng cao độ chính xác bằng cách xây dựng hồ sơ hành vi
Trang 16CHUONG 5 NETWORK-BASED INTRUSION DETECTION (HE THONG
PHAT HIEN XAM NHAP TREN MANG)
Hệ thống phát hiện xâm nhập trên mạng (NIDS) là một công cụ quan trong trong an ninh mạng, giúp giám sát lưu lượng mạng đề phát hiện các dấu hiệu tấn công hoặc hoạt động
bát thường Không giống như hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS), NIDS
theo dõi toàn bộ lưu lượng mạng thay vì chỉ tập trung vào một thiết bị cụ thê Điều này giúp
NIDS có thê phát hiện các cuộc tắn công có tô chức hoặc những hành vi xâm nhập nguy hiểm
ngay khi chúng xảy ra
5.1 — Các loai cam bién mang ( Types of Network Sensors )
¢ Cảm biến nội tuyến (Inline Sensor): Giám sát lưu lượng mạng theo thời gian thực, có khả năng chặn các cuộc tấn công trước khi chúng gây hại
e _ Cảm biến thụ động (Passive Sensor): Ghi nhận lưu lượng mang mà không ảnh hưởng đến dữ liệu, phù hợp đề phân tích và điều tra sau sự có
e - Cảm biến có dây và không dây: Các cảm biến có dây thường áp dụng cho mạng
nội bộ, trong khi cảm biến không dây (WIDS) tập trung vào bảo vệ các giao thức mạng không dây
5.2 _ Triển khai cảm biến NIDS ( NIDS Sensor Deployment )
Quản trị viên mạng có thé triển khai cảm biến NIDS tại nhiều vi tri dé tối ưu hóa khả
năng giám sát:
e _ Giữa Internet và tường lửa: Giúp phát hiện các cuộc tấn công từ bên ngoải trước
khi chúng xâm nhập hệ thống
e - Bên trong tường lửa: Phát hiện tấn công đã vượt qua lớp bảo vệ
e _ Bên trong mạng nội bộ: Theo dõi các mối đe dọa nội bộ, phát hiện các thiết bị
bị xâm nhập
e - Bảo vệ hệ thống quan trọng: Được sử dụng để giám sát các hệ thống nhạy cảm
như tài chính, nhân sự, hệ thống điều hành sản xuất
5.3 Kỹ thuat phat hién x4m nh4p ( Intrusion Detection Techniques )
NIDS str dung hai phương pháp chính đề phát hiện tấn công:
e _ Phát hiện dựa trên chữ ký (Signature-Based Detection): So sánh lưu lượng mạng
với danh sách các mẫu tân công đã biết đề xác định các mối đe dọa
vi thông thường của hệ thống và phát hiện những hảnh vi khác thường có thể là
dấu hiệu của tắn công
5.4 _ Phát hiện dựa trên chữ ký (Signature Detection)
e - Do thám và tắn công lớp ứng dụng
e - Do thám và tắn công lớp vận chuyển
e - Do thám và tắn công lớp mạng
il
Trang 17Vị phạm chính sách
5.5 Cac ky thuat phat hién bat thuong (Anomaly Detection Techniques)
Theo NIST SP 800-94, cdc loại tắn công có thê phát hiện hiệu quả bằng phương pháp
phát hiện bắt thường bao gồm:
Tấn công từ chối dịch vụ (Denial-of-Service - DoS)
Quét hệ thống (Scanning)
Sâu máy tính (Worms)
Theo NIST SP 800-94, SPA là một dạng của phát hiện bất thường, trong đó:
So sánh lưu lượng mạng thực tế với mô hình lưu lượng hợp lệ do nhà cung cấp
định nghĩa trước (khác với các kỹ thuật phát hiện bat thường dựa trên mô hình
lưu lượng riêng của tô chức)
Theo dõi trạng thái của các giao thức mạng, vận chuyên và ứng dụng, đảm bảo
rằng các trạng thái này diễn ra đúng như mong đợi
Nhược điểm chính: Tiêu tốn nhiều tài nguyên hệ thống
Thông tin thường được phi lại bởi cảm biến NIDS:
Dấu thời gian (ngày và giờ)
ID kết nối hoặc phiên (số thứ tự duy nhất cho mỗi kết nối TCP hoặc nhóm gói
tin UDP)
Loại sự kiện hoặc cảnh báo
Đánh giả mức độ nghiêm trọng (ưu tiên, ảnh hưởng, độ tin cậy, v.v.)
Các giao thức mạng, vận chuyên và ứng dụng liên quan
Địa chỉ IP nguén va dich
Công TCP/UDP nguồn và đích, hoặc mã loại ICMP
Số byte đã truyền trong kết nối
Dữ liệu tải trọng đã được giải mã, như yêu cầu và phản hồi của ứng dụng
Thông tin trạng thái, chắng hạn như tên người dùng đã xác thực
12
Trang 18CHƯƠNG 6 PHÁT HIỆN XÂM NHAP PHAN TAN HOAC LAI (DISTRIBUTED OR HYBRID INTRUSION DETECTION) Trong những năm gần đây, khái niệm về các hệ thống phát hiện xâm nhập (Intrusion Detection Systems - IDS) có khả năng giao tiếp đã phát triển thành các mô hình phân tán, trong
đó các hệ thống hợp tác với nhau đề nhận diện các cuộc tấn công và thích nghỉ với các hồ sơ tan công thay đổi Các hệ thống này kết hợp thông tin từ nhiều nguồn khác nhau, bao gồm IDS dựa trên máy chủ (Host-based IDS - HIDS) với chỉ tiết về quy trình và dữ liệu trên máy chủ,
cùng với IDS dựa trên mạng (Network-based IDS - NIDS) với các sự kiện và dữ liệu mạng,
nhằm quản lý và điều phối việc phát hiện cũng như phản ứng với xâm nhập trong hạ tằng công
nghệ thông tin của một tổ chức Phan nay sé thao luận chỉ tiết về cách tiếp cận phân tán hoặc lai trong phát hiện xâm nhập, những thách thức mà nó giải quyết, và cách thức hoạt động của các hệ thống như vậy
6.1 Thách thức đối với các hệ thống phát hiện xâm nhập truyền thống
Các hệ thống bảo mật như IDS, tường lửa, phần mềm diệt virus hay phát hiện sâu máy tính từ lâu đã đối mặt với hai vấn đẻ cốt lõi Thứ nhất, các công cụ này thường không
nhận diện được các mối đe dọa mới hoặc những biến thể mạnh mẽ của các mối đe dọa đã biết
Ví dụ, một cuộc tắn công mới với mã độc được thiết kế tỉnh vi có thể vượt qua các thuật toán phát hiện cũ Thứ hai, việc cập nhật các hệ thống nảy đủ nhanh đề đối phó với các cuộc tấn
công lan rộng nhanh chóng là một thách thức lớn Khi một sâu máy tính (worm) hoặc mã độc
lây lan với tốc độ cao, thời gian phản ứng của hệ thống bảo mật thường không đủ đề ngăn chặn
thiệt hại
Ngoài ra, các biện pháp bảo vệ chu vi (perimeter defenses) như tường lửa gặp khó khan trong bối cảnh doanh nghiệp hiện đại, nơi ranh giới mạng không còn được xác định rõ ràng
Các thiết bị như máy tính xách tay của nhân viên có thê kết nối vào mạng nội bộ từ bên ngoài
qua mạng không dây hoặc công vật lý, tạo ra lỗ hỗng cho kẻ tắn công khai thác Những vấn đề
này đã bị kẻ tấn công lợi dụng theo nhiều cách Một cách tiếp cận truyền thống là phát triển các
sâu máy tính lây lan nhanh hơn bao giờ hết hoặc các cuộc tấn công từ chối dich vu (DoS) voi
sức mạnh áp đảo trước khi hệ thống phòng thủ kịp phản ứng Gần đây hơn, một chiến thuật mới
đã xuất hiện: làm chậm tốc độ lây lan của cuộc tắn công đề tránh bị phát hiện bởi các thuật toán
thông thường, như được đề cập trong nghiên cứu của [ANTHƠ7]
6.2 Giải pháp: Hệ thống phân tán và hợp tác
Dé đối phó với những thách thức trên, các hệ thống phát hiện xâm nhập phân tán hoặc
lai đã được phát triển, Y tưởng chính là tạo ra một mạng lưới các cảm biến (sensors) hợp tác,
có khả năng nhận diện các cuộc tấn công dựa trên những dấu hiệu tinh vi hơn vả thích nghỉ
nhanh chóng với các mối đe đọa Trong cách tiếp cận này, các bộ phát hiện bat thường (anomaly
detectors) tại các nút cục bộ (local nodes) sẽ tìm kiếm bằng chứng về hoạt động bat thuong
Chang han, m6t may tính thường chỉ thực hiện vài kết nối mạng có thê bi nghi ngờ đang bi tan
công nếu đột nhiên nó được yêu cầu thực hiện nhiều kết nối hơn với tốc độ cao
Tuy nhiên, chỉ dựa vào bằng chứng này, hệ thống cục bộ có nguy cơ đưa ra kết quả dương tính giả (false positive) nếu phản ứng ngay lập tức (ví dụ: ngắt kết nối mạng và phát
13
