: Ứng dụng truyền thông và An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Trang 1

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành

vô cùng quan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, antoàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công

ty, các tổ chức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấncông ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệuqủa Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa(firewall) nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứngnhắc dựa trên các luật bảo vệ cố định Với kiểu phòng thủ này, các hệ thống anninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằmvào điểm yếu của hệ thống Hệ thống phát hiện xâm phạm (IDS) là một hệ thốnggần đây được đông đảo những người liên quan đến bảo mật khá quan tâm, cónhững tính năng tốt hơn

I.1 Khái niệm về IDS.

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là

một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho

hệ thống, nhà quản trị IDS cũng có thể phân biệt giữa những tấn công bên trong

từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ cáchacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để pháthiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

I.2 Lịch sử ra đời của IDS:

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của JamesAnderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu cáchành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra cácviệc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về

Trang 2

hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm

1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đếntận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDSchỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy nhiêntrong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổcủa công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thực

sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận

ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên

là Wheel

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ

an ninh được sử dụng nhiều nhất và vẫn còn phát triển

I.3 Phân biệt những hệ thống không phải là IDS

Các thiết bị bảo mật dưới đây không phải là IDS:

- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đốivới vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở

đó sẽ có hệ thống kiêm tra lưu lượng mạng

- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điềuhành, dịch vụ mạng (các bộ quét bảo mật)

- Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mãnguy hiểm như virus, Trojan horse, worm Mặc dù những tínhnăng mặc định có thể rất giống hệ thống phát hiện xâm phạm vàthường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả

- Tường lửa (firewall)

- Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,Kerberos, Radius…

Trang 3

Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo

- Giám sát: lưu lượng mạng và các hoạt động khả nghi

- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.Chức năng chính của IDS được cụ thể bởi các hành động như:

- Nhận ra những hành vi giống như những cuộc tấn công mà hệthống đã được cài đặt từ trước

- Phân tích thống kê những luồng traffic không bình thường

- Đánh giá và kiểm tra tính toàn vẹn của các file được xác định

- Thống kê và phân tích các user và hệ thống đang hoạt động

- Phân tích luồng traffic

- Phân tích event log (ghi chú sự kiện)

Trang 4

III Kiến trúc của IDS

Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộcảm biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phầncảnh báo (Alert Notification)

III.1 Trung tâm điều khiển (The Command Console)

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí

Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâmđiều khiển có thể được truy cập từ bất cứ nơi nào Tóm lại Trung tâmđiều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor)qua một đường mã hóa, và nó là một máy chuyên dụng

III.2 Bộ cảm biến (Netword Sensor)

Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặcmáy chuyên dụng trên các đường mạng thiết yếu Bộ cảm biến có mộtvai trò quan trọng vì có hàng nghìn mục tiêu cần được giám sát trênmạng

Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biếntrên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả cácport trên hub, và có thể phát hiện ra các luồng traffic bất thường.Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tinđến chính xác địa chỉ cần gửi trên từng port Để giải quyết vấn đề này,một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng(expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và takết nối IDS vào port này Port này được gọi là Switched Port Analyzer(SPAN) port SPAN port cần được cấu hình bởi các chuyên gia bảomật để nhân bản mọi luồng dữ liệu của switch

Trang 5

III.3 Bộ phân tích gói tin (The Network Tap)

Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trênmạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng vàgửi cảnh báo khi phát hiện ra hành động xâm nhập

III.4 Thành phần cảnh báo (Alert Notification)

Thành phần cảnh báo có chức năng gửi những cảnh báo tớingười quản trị Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ởdưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP

III.5 Vị trí đặt IDS

Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế

vị trị cũng như kiến trúc của IDS khác nhau

Hình: Vị trí đặt IDS

Trang 6

IV Quy trình hoạt động của IDS

1 Một host tạo gói tin

2 Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin (Bộ cảmbiến được đặt ở vị trí sao cho có thể đọc được gói tin này)

3 Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so sánhgói tin với các tín hiệu được cài đặt trước Khi có dấu hiệu xâm nhập, mộtcảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The CommandConsole)

4 Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người haynhóm người được chỉ định từ trước để giải quyết

5 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này

6 Cảnh báo được lưu lại

7 Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này

Trang 7

Hình: Quy trình hoạt động của IDS

Trang 8

V Các hành vi bất thường

V.1 Các hành động tấn công

Các loại tấn công được phân thành hai loại như sau:

- Bị động (được trang bị để tăng mức truy cập làm cho có thểthâm nhập vào hệ thống mà không cần đến sự đồng ý của tàinguyên CNTT)

- Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệcủa tài nguyên CNTT)

Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấncông được chia thành:

- Bên trong, những tấn công này đến từ chính các nhân viên củacông ty, đối tác làm ăn hoặc khách hàng

- Bên ngoài, những tấn công đến từ bên ngoài, thường thông quaInternet

Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể lànguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc

từ các nguồn quay số từ xa) Bây giờ chúng ta hãy xem xét đến các loạitấn công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào mộtchuyên mục đặc biệt Các loại tấn công dưới đây có thể được phân biệt:

- Những tấn công này liên quan đến sự truy cập trái phép đến tàinguyên

- Việc bẻ khóa và sự vi phạm truy cập

- Trojan horses

Trang 9

- Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánhchặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống

- Sự giả mạo

- Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP

- Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với cácgói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, cáctham số ngăn xếp IP,…

- Nghe gói tin mạng (một tấn công thụ động rất khó khăn pháthiện nhưng đôi khi vẫn có thể)

- Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin vềquyền sở hữu

- Lạm dụng tính xác thực; một loại hình tấn công bên trong, vídụ: nghi ngờ sự truy cập của một người dùng xác thực có thuộctính kỳ lạ (đến từ một địa chỉ không mong muốn)

Trang 10

o Thay đổi và xóa thông tin

o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở

dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máytính của chính phủ

o Thay đổi cấu hình trái phép đối với hệ thống và các dịch

vụ mạng (máy chủ)

- Từ chối dịch vụ (DoS)

o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việcgửi đi một số lượng lớn các thông tin không giá trị đểlàm tắc nghẽn lưu lượng hạn chế dịch vụ

o Ping (Smurf) – một số lượng lớn các gói ICMP được gửiđến một địa chỉ quảng bá

o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn cácmessage trong một thời điểm ngắn

o SYN – khởi tạo một số lượng lớn các yêu cầu TCP vàkhông tiến hành bắt tay hoàn toàn như được yêu cầu đốivới một giao thức

o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau

- Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó

o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượnglớn ICMP (vượt quá 64KB))

o Tắt hệ thống từ xa

Trang 11

- Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng cóthể gây ra như đã nói ở phần trên

Cần phải nhớ rằng, hầu hết các tấn công không phải là một hành độngđơn, mà nó thường gồm có một số các sự kiện riêng lẻ

5.2 Dấu vết của các hành động tấn công

Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vikhông bình thương nào của hệ thống Điều này có thể là cách hữu dụngtrong việc phát hiện các tấn công thực Chúng ta hãy xem xét thêm về vấncác triệu chứng để có thể lần theo dấu vết của những kẻ xâm phạm

bị những kẻ xâm nhập nghiên cứu rất kỹ

Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cảngười dùng và kẻ tấn công Việc kiểm tra tính đúng đắn về cách sửdụng file bằng các bộ quét toàn vẹn và việc hiểu biết đến các bộ quét

lỗ hổng là cần thiết để phát hiện những cuộc tấn công đang trong quátrình thực thi hoặc lần theo những hỏng hóc từ các tấn công thànhcông Từ những vấn đề đó nảy sinh ra các vấn đề công nghệ dưới đây:

 Sự phát hiện của bộ quét Công cụ kiểm tra tính toàn vẹn filehoạt động theo một cách có hệ thống để có thể sử dụng các kỹ thuật

Trang 12

mô hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ:phần mềm anti-SATAN

 Một sự tương quan giữa việc quét và sử dụng là rất cần thiết– việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năngdịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công cóthể xuất hiện trong tương lai

5.2.2 Hoạt động mạng khác thường có tính chất định kỳ

Một kẻ xâm phạm đang muốn tấn công một hệ thống thườngkhai thác các ứng dụng và tiến hành nhiều phương pháp thử Các hoạtđộng xâm phạm thường khác với hoạt động của người dùng đang làmviệc với hệ thống Bất kỳ một công cụ kiểm tra thâm nhập đều có thểphân biệt các hoạt động khả nghi sau một ngưỡng Nếu vượt quá mộtngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện vàcông bố cho bạn biết Đây là kỹ thuật thụ động cho phép phát hiện kẻxâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cầnqua việc kiểm tra định lượng

Phương pháp thụ động sử dụng trong việc phát hiện xâm nhậpđược điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đềuđặn và được xem xét theo các khía cạnh dưới đây:

 Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạtđộng hợp lệ và nghi ngờ (để kích hoạt các báo cảnh) Các hoạt độngmạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số đượclấy từ (ví dụ) profile người dùng hoặc trạng thái Session

 Thời gian giữa những lần lặp là một tham số để xác địnhthời gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạtđộng bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăngnhập không thành công

Trang 13

 Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công.Một kẻ tấn công có thể có các hành động trung tính (hầu như xảy ratrong giai đoạn thăm dò) và điều đó có thể làm sai lệnh các thiết bịphòng chống IDS

5.2.3 Các lệnh không được đánh hoặc trả lời trong các session tự động

Các dịch vụ và giao thức mạng được minh chứng theo nhữngcách nghiêm ngặt và sử dụng các công cụ phần mềm nhận dạng Bất

kỳ một sự không tương thích nào với các mẫu đã được đưa ra (gồm cócác lỗi con người như việc xuất hiện lỗi in trong gói mạng) có thể làthông tin có giá trị để phát hiện ra dịch vụ đang bị nhắm đến bởi kẻxâm nhập

Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữchậm mail, thì chuỗi bản ghi của nó sẽ thể hiện thói quen thôngthường hoặc có thể đoán trước Mặc dù vậy, nếu bản ghi chỉ thị rằngmột quá trình đặc biệt nào đó đã cung cấp các lệnh không hợp lệ thìđây vẫn có thể là một triệu chứng của một sự kiện bình thường hoặcmột sự giả mạo

Kiểm tra những tác động tấn công:

 Phát hiện tấn công để khôi phục lại được các lệnh hoặc câutrả lời dưới đây bằng việc khởi chạy chúng

 Phát hiện một số tấn công thất bại có thể thấy được giaothức cú pháp của những lần tấn công thành công trước đó

 Việc phát hiện các tấn công đang nghiên cứu để thích nghinhằm bắt các lỗi liên quan đến cùng một đối tượng (dịch vụ, host).Sau một chu kỳ nào đó, các lỗi này sẽ ngừng

Trang 14

5.2.4 Mâu thuẫn trực tiếp trong lưu lượng

Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session làmột trong những triệu chứng tấn công tiềm ẩn Xem xét dữ liệu nguồn

và địa điểm (trong nước hoặc nước ngoài) có thể nhận dạng trực tiếp

về một gói tin

Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên.Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một sessionđang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ mộtmạng nội bộ là một session gửi đi

Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấuhiệu của một vụ tấn công:

 Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạngnội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trongtrường hợp đó các gói có địa chỉ nguồn bên trong của chúng Tìnhhuống này có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài.Các vấn đề như vậy có thể được giải quyết tại các bộ định tuyến,chúng có thể so sánh địa chủ nguồn với vị trí đích Trong thực tế, số ít

bộ định tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dànhcho tường lửa

 Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đếnmạng ở ngoài với một địa chỉ đích của nó – trường hợp ngược lại Kẻxâm nhập thực hiện từ bên ngoài và nhắm vào một hệ thống ở ngoài

 Các gói có các cổng nguồn và đích không mong muốn – nếucổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợpvới loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập(hoặc quét hệ thống) Ví dụ: yêu cầu Telnet Service trên cổng 100trong môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể

Trang 15

được hỗ trợ (nếu có) Sự mâu thuẫn trực tiếp hầu như đều có thể đượcphát hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ Mặc dùvậy, các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thốngphát hiện xâm phạm

5.2.5 Các thuộc tính không mong muốn

Các trường hợp thường xảy ra nhất là ở những nơi phải xử lýmột số lượng lớn các thuộc tính của gói hoặc các yêu cầu cụ thể đốivới dịch vụ Chúng ta hoàn toàn có thể định nghĩa mẫu thuộc tínhmong đợi Nếu các thuộc tính gặp phải không phù hợp với mẫu này thì

nó có thể là một hành động xâm phạm

 Các thuộc tính thời gian và lịch biểu – trong môi trường nào

đó, hành vi mạng cụ thể có thể xảy ra một cách thường xuyên tại mộtthời điểm nào đó trong ngày Nếu hành vi thông thường này bị phá vỡthì trường hợp này cần phải được kiểm tra Ví dụ, chúng tôi sử dụngmột công ty, nơi mà việc vận chuyển được tiến hành vào chiều thứ sáuhàng tuânà Bằng cách đó, dữ liệu số trao đổi trong các phiên giaodịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xemnhư các hành động bình thường Tuy nhiên nếu thứ sáu là ngày nghỉ

mà vẫn xuất hiện việc truyền tải dữ liệu thì vấn đề này cần phải kiểmtra

 Thuộc tính tài nguyên hệ thống Các xâm phạm nào đóthường liên làm ảnh hưởng xấu cho một số các thuộc tính hệ thống.Việc bẻ khóa bằng cách thử lặp đi lặp lại password nhiều lần thườngliên quan đến sự sử dụng phần lớn hiệu suất CPU giống như các tấncông DoS với các dịch vụ hệ thống Sử dụng nhiều tài nguyên hệthống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ

và kết nối mạng) đặc biệt là những thời điểm không bìng thường rất

có thể là một dấu hiệu

Trang 16

 Với các gói có các thiết lập TCP phúc đáp không mong đợi.Nếu có một tập ACK-flag thông qua một gói và không có SYN-packet(gói đồng bộ) trước được gửi thì cũng có thể là một trường hợp tấncông (hoặc quét dịch vụ) Tình huống như vậy có thể cũng là trườnghợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhấtthiết là một tấn công

 Dịch vụ trộn lẫn các thuộc tính Thông thường chúng ta cóthể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp chomột người dùng cụ thể Ví dụ: nếu người dùng đang trong chuyến đicông tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tảifile Bất kỳ những cố gắng nào liên quan đến tài khoản của anh tathông qua Telnet để truy cập vào các cổng đều có thể là những tấncông

Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ,

cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phânbiệt các thuộc tính điển hình và các thuộc tính không mong muốn.Một file dấu hiệu giữ một số các dịch vụ chung của một người dùng

cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính Các thông tinnày bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vịtrí của máy trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụngtài nguyên, khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ

5.2.6 Các vấn đề không được giải thích

Một kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguyhiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục tronghành vi của một hệ thống Việc kiểm tra các ảnh hưởng như vậythường khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện Dướiđây là một số ví dụng của nó:

Trang 17

 Các vấn đề không mong muốn với phần cứng hoặc phầnmềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạtđộng, những lần khởi động lại hệ thống không mong muốn, thay đổicác thiết lập đồng hồ hệ thống

 Các vấn đề tài nguyên hệ thống: tràn file hệ thống; sự sửdụng hiệu suất CPU không cách không bình thường

 Các thông báo kỳ cục từ các tiện ích hệ thống, các tiện ích

hệ thống không hoạt động hoặc bị phá hủy Những triệu chứng nhưvậy luôn phải nghi ngờ

 Các vấn đề hiệu suất hệ thống (các bộ định tuyến hoặc cácdịch vụ hệ thống có thời gian đáp ứng máy chủ quá lâu)

 Hành vi người dùng không mong muốn, ví dụ: truy cậpkhông mong muốn vào tài nguyên hệ thống

 Hành vi kiểm định không mong muốn Các bản ghi kiểmđịnh thu nhỏ kích thước (trừ khi được cố ý bởi quản trị viên hệ thống)

VI Phân loại IDS

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập tráiphép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3yếu tố cơ bản nền tảng sau:

Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trênmạng

Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biếthành động nào là tấn công

Trang 18

Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích

ở trên

6.1 Network - based IDS (NIDS)

6.1.1 Mô hình thiết kế Network – based IDS

Hình: Mô hình Netword – based IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trêntoàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượngtrùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ

bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhậnđược một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đếntrạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn nhữngxâm nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi

Trang 19

những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện

đó là tấn công hay không

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài đểgiám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệtđược thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưulượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khilưu lượng mạng hoạt động ở mức cao

Các hệ thống xâm nhập mạng điển hình là: Cisco Secure IDS (tên cũ làNetRanger), Hogwash, Dragon, E-Trust IDS

6.1.2 Lợi thế của Network – based IDS

- Quản lý được cả một network segment (gồm nhiều host)

- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

6.1.3 Hạn chế của Network – based IDS

Có thể xảy ra trường hợp báo động giả (false positive), tức không cóintrusion mà NIDS báo là có intrusion

Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự antoàn

Trang 20

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báođộng được phát ra, hệ thống có thể đã bị tổn hại

Không cho biết việc attack có thành công hay không

Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phảinhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phântích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giảipháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt củanhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào

để bảo đảm truyền thông và bảo mật tốt nhất

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khigặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗigiao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớnhơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ

là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lạikhông thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiệntượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại chođúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệuphân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâmnhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chínhxác

6.1.4 Phân loại mô hình thiết kế Network – based IDS

NIDS có hai mô hình căn bản là: Mô hình truyền thống (traditional)

và Mô hình phân tán (distributed)

Mô hình truyền thống (Traditional NIDS)

Mô hình truyền thống sử dụng bộ cảm biến trong hệ thống mạng Bộcảm biến là một máy tính được cấu hình chạy phần mềm IDS và thường

Trang 21

đứng một mình Hơn nữa, mỗi máy tính này có card mạng và được cài đặtphần mềm có thể chạy được chế độ promiscuous để có thể bắt được tất cảcác luồng traffic trên mạng Gói tin được đưa trực tiếp vào bộ phát hiện(detection engine), và được phân tích tại đây Sau đó, thông báo sẽ đượcgửi đến Trung tâm điều khiển (The Command Console), và Trung tâmđiều khiển sẽ gửi phản hồi lại host

Hình: Mô hình truyền thống (Traditional NIDS)

Mô hình phân tán (Distributed NIDS)

Khác với Mô hình truyền thống, ở Mô hình phân tán, dữ liệu sau khiphân tích tại host, sẽ được so sánh với các signature, và nếu như có dấuhiệu của hành vi bất thường, phản hồi sẽ được tạo ngay tại host mà khôngcần qua Trung tâm điều khiển (The Command Console) Host chỉ gửi cảnhbáo đến Trung tâm điều khiển, và Trung tâm điều khiển sẽ lưu trữ cảnhbáo và gửi thông báo đến người quản trị

Trang 22

Hình: Mô hình phân tán (Distributed NIDS)

Tiêu đề	Intrusion Detection System (IDS) – Hệ Thống Phát Hiện Xâm Nhập
Trường học	Trường Đại Học
Chuyên ngành	Ứng Dụng Truyền Thông Và An Ninh Thông Tin
Thể loại	đề tài

Định dạng
Số trang	45
Dung lượng	2,31 MB

Tài liệu tham khảo	Loại	Chi tiết
1. Có 2 dạng IDS là NIDS và HIDS, vậy khi nào thì dùng NIDS, khi nào thì dùng HIDS?Nếu cài chương trình Antivirus rồi thì có cần cài IDS không	Khác
2. Hệ thống phân tích dữ liệu trong IDS	Khác
4. IDS trong suốt với người sử dụng	Khác
5. Giải thích cụ thể báo động giả trong IDS?Phân biệt rõ NIDS và HIDS	Khác
6. Nếu quản lý nhiều đoạn mạng thì cần phải tập trung về 1 chỗ, nếu không có IP thì làm sao làm được	Khác
7. Nếu ta dùng Norton Security, khi có tấn công nó sẽ hiện cảnh báo, như vậy nó có phải là IDS không? IDS phần mềm và phần cứng có gì khác nhau	Khác

: Ứng dụng truyền thông và An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Hạn chế của Host – based IDS

Phát hiện hành vi bất thường