Đề tài: Intrusion Dectection System IDS – Hệ thống phát hiện xâm nhậpĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TINKHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG BÁO CÁO Môn
Trang 1Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TINKHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG
BÁO CÁO
Môn học: Ứng dụng truyền thông và An ninh thông tin
Giảng viên: ThS Tô Nguyễn Nhật Quang
Đề tài: Intrusion Detection System (IDS) – Hệ thống phát hiện xâm nhập
Danh sách nhóm 21:
Thành phố Hồ Chí Minh, tháng 03 năm 2014
Trang 2Mục lục
I.Khái niệm về IDS……….1
1.1.Khái niệm về IDS……….1
1.2 Lịch sử ra đời của IDS……… 1
1.3.Phân biệt những hệ thống không phải là IDS……… 2
II.Chức năng của IDS……….4
III.Kiến trúc của IDS……… 5
3.1.Trung tâm điều khiển………5
3.2,Bộ cảm biến……… 5
3.3.Bộ phân tích gói tin……… 6
3.4.Thành phần cảnh báo………6
3.5.Vị trí đặt IDS………6
IV.Quy trình hoạt động của IDS……….7
V.Các hành vi bất thường……… 9
5.1.Các hành động tấn công……… 9
5.2.Dấu vết của các hành động tấn công……… 12
5.2.1.Sử dụng các lỗ hổng đã được biết đến……….12
5.2.2.Hoạt động mạng khác thường có tính chất định kỳ……….13
5.2.3.Các lệnh không được đánh hoặc trả lời trong các session tự động……… 14
5.2.4.Mâu thuẫn trực tiếp trong lưu lượng………15
5.2.5.Các thuộc tính không mong muốn ……… 16
5.2.6.Các vấn đề không được giải thích………18
Trang 3Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
VI.Phân loại IDS……… 19
6.1 Network - based IDS (NIDS)………19
6.1.1.Mô hình thiết kế Network - based IDS………19
6.1.2.Lợi thế của Network - based IDS………21
6.1.3.Hạn chế của Network - based IDS……… 21
6.1.4 Phân loại mô hình thiết kế Network - based IDS……… 22
6.2.Host - based IDS (HIDS)………25
6.2.1.Mô hình thiết kế Host - based IDS……… 25
6.2.2.Lợi thế của Host - based IDS……… 27
6.1.3.Hạn chế của Host - based IDS……….27
6.1.4 Phân loại mô hình thiết kế Host - based IDS……… 28
VII.Phân tích trong IDS………31
7.1.Xử lý kiểm định……… 31
7.2.Xử lý online………33
VIII.Các kỹ thuật phân tích xử lý dữ liệu được xử dụng trong IDS……….36
IX.Phát hiện hành vi bất thường……… 40
9.1.Các mẫu hành vi thông thường - phát hiện bất thường……… 40
9.2.Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu……… 41
9.3.Tương quan các mẫu tham số……….43
X.Những vấn đề mà IDS chưa thể giải quyết được……… 45
Tài liệu tham khảo………46
Trang 4LỜI CÁM ƠN
- Nhóm em xin chân thành cảm ơn Khoa Mạng máy tính và truyền thông, trường Đại học Công nghệ thông tin Tp HCM đã tạo điều kiện cho em được học
và làm báo cáo môn “Ứng dụng truyền thông và an ninh thông tin”.
Em xin chân thành cảm ơn thầy Tô Nguyễn Nhật Quang, người đã tận
tâm truyền đạt những kiến thức nền tảng cơ bản cho chúng em về môn học “Ứng
dụng an ninh thông tin”.Em xin chân thành cảm ơn thầy với công lao trợ giúp
không mệt mỏi của thầy
Xin chân thành cảm ơn bạn bè trong lớp đã giúp đỡ nhau chia sẻ tài liệu
về môn học
Mặc dù đã rất nỗ lực, cố gắng nhưng kiến thức và kinh nghiệm thực tế cònhạn chế nên chắc chắn bài báo cáo này vẫn còn nhiều thiếu sót Em rất mongnhận được sự góp ý đánh giá của các thầy cô để em có thể phát triển báo cáo nàythêm hoàn chỉnh hơn
TpHCM, ngày 26 tháng 4 năm 2011
Lớp MMT02 Nhóm sinh viên thực hiện
Trang 5Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Trang 6
I Khái niệm về IDS.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành
vô cùng quan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, antoàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công
ty, các tổ chức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấncông ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệuqủa Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa(firewall) nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứngnhắc dựa trên các luật bảo vệ cố định Với kiểu phòng thủ này, các hệ thống anninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằmvào điểm yếu của hệ thống Hệ thống phát hiện xâm phạm (IDS) là một hệ thốnggần đây được đông đảo những người liên quan đến bảo mật khá quan tâm, cónhững tính năng tốt hơn
I.1 Khái niệm về IDS.
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo chohệ thống, nhà quản trị IDS cũng có thể phân biệt giữa những tấn công bên trong
từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ cáchacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để pháthiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường
I.2 Lịch sử ra đời của IDS:
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của JamesAnderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu cáchành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các
Trang 7Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu vềhệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm
1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đếntận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDSchỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy nhiêntrong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổcủa công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thựcsự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận
ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên
là Wheel
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ
an ninh được sử dụng nhiều nhất và vẫn còn phát triển
I.3 Phân biệt những hệ thống không phải là IDS
Các thiết bị bảo mật dưới đây không phải là IDS:
- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đốivới vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ởđó sẽ có hệ thống kiêm tra lưu lượng mạng
- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điềuhành, dịch vụ mạng (các bộ quét bảo mật)
- Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mãnguy hiểm như virus, Trojan horse, worm Mặc dù những tínhnăng mặc định có thể rất giống hệ thống phát hiện xâm phạm vàthường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả
- Tường lửa (firewall)
Trang 8- Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME,Kerberos, Radius…
Trang 9Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo
- Giám sát: lưu lượng mạng và các hoạt động khả nghi
- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.Chức năng chính của IDS được cụ thể bởi các hành động như:
- Nhận ra những hành vi giống như những cuộc tấn công mà hệthống đã được cài đặt từ trước
- Phân tích thống kê những luồng traffic không bình thường
- Đánh giá và kiểm tra tính toàn vẹn của các file được xác định
- Thống kê và phân tích các user và hệ thống đang hoạt động
- Phân tích luồng traffic
- Phân tích event log (ghi chú sự kiện)
Trang 10III Kiến trúc của IDS
Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộcảm biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phầncảnh báo (Alert Notification)
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí.Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâmđiều khiển có thể được truy cập từ bất cứ nơi nào Tóm lại Trung tâmđiều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor)qua một đường mã hóa, và nó là một máy chuyên dụng
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặcmáy chuyên dụng trên các đường mạng thiết yếu Bộ cảm biến có mộtvai trò quan trọng vì có hàng nghìn mục tiêu cần được giám sát trênmạng
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biếntrên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả cácport trên hub, và có thể phát hiện ra các luồng traffic bất thường.Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tinđến chính xác địa chỉ cần gửi trên từng port Để giải quyết vấn đề này,một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng(expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và takết nối IDS vào port này Port này được gọi là Switched Port Analyzer(SPAN) port SPAN port cần được cấu hình bởi các chuyên gia bảomật để nhân bản mọi luồng dữ liệu của switch
Trang 11Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
III.3 Bộ phân tích gói tin (The Network Tap)
Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trênmạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng vàgửi cảnh báo khi phát hiện ra hành động xâm nhập
III.4 Thành phần cảnh báo (Alert Notification)
Thành phần cảnh báo có chức năng gửi những cảnh báo tớingười quản trị Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ởdưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP
III.5 Vị trí đặt IDS
Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kếvị trị cũng như kiến trúc của IDS khác nhau
Hình: Vị trí đặt IDS
Trang 12IV Quy trình hoạt động của IDS
1 Một host tạo gói tin
2 Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin (Bộ cảmbiến được đặt ở vị trí sao cho có thể đọc được gói tin này)
3 Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so sánhgói tin với các tín hiệu được cài đặt trước Khi có dấu hiệu xâm nhập, mộtcảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The CommandConsole)
4 Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người haynhóm người được chỉ định từ trước để giải quyết
5 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này
6 Cảnh báo được lưu lại
7 Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này
Trang 13Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Hình: Quy trình hoạt động của IDS
Trang 14V Các hành vi bất thường
V.1 Các hành động tấn công
Các loại tấn công được phân thành hai loại như sau:
- Bị động (được trang bị để tăng mức truy cập làm cho có thểthâm nhập vào hệ thống mà không cần đến sự đồng ý của tàinguyên CNTT)
- Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệcủa tài nguyên CNTT)
Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấncông được chia thành:
- Bên trong, những tấn công này đến từ chính các nhân viên củacông ty, đối tác làm ăn hoặc khách hàng
- Bên ngoài, những tấn công đến từ bên ngoài, thường thông quaInternet
Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể lànguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc
từ các nguồn quay số từ xa) Bây giờ chúng ta hãy xem xét đến các loạitấn công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào mộtchuyên mục đặc biệt Các loại tấn công dưới đây có thể được phân biệt:
- Những tấn công này liên quan đến sự truy cập trái phép đến tàinguyên
- Việc bẻ khóa và sự vi phạm truy cập
- Trojan horses
Trang 15Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
- Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánhchặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
- Sự giả mạo
- Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP
- Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với cácgói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, cáctham số ngăn xếp IP,…
- Nghe gói tin mạng (một tấn công thụ động rất khó khăn pháthiện nhưng đôi khi vẫn có thể)
- Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin vềquyền sở hữu
- Lạm dụng tính xác thực; một loại hình tấn công bên trong, vídụ: nghi ngờ sự truy cập của một người dùng xác thực có thuộctính kỳ lạ (đến từ một địa chỉ không mong muốn)
- Các kết nối mạng trái phép
- Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ nhưtruy cập vào các trang có hoạt động không lành mạnh
- Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyênhoặc các quyền truy cập mức cao
- Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyềntruy cập)
o Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyềnquản trị viên hệ thống
Trang 16o Thay đổi và xóa thông tin
o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sởdữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máytính của chính phủ
o Thay đổi cấu hình trái phép đối với hệ thống và các dịch
vụ mạng (máy chủ)
- Từ chối dịch vụ (DoS)
o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việcgửi đi một số lượng lớn các thông tin không giá trị đểlàm tắc nghẽn lưu lượng hạn chế dịch vụ
o Ping (Smurf) – một số lượng lớn các gói ICMP được gửiđến một địa chỉ quảng bá
o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn cácmessage trong một thời điểm ngắn
o SYN – khởi tạo một số lượng lớn các yêu cầu TCP vàkhông tiến hành bắt tay hoàn toàn như được yêu cầu đốivới một giao thức
o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau
- Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó
o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượnglớn ICMP (vượt quá 64KB))
o Tắt hệ thống từ xa
Trang 17Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
- Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng cóthể gây ra như đã nói ở phần trên
Cần phải nhớ rằng, hầu hết các tấn công không phải là một hành độngđơn, mà nó thường gồm có một số các sự kiện riêng lẻ
5.2 Dấu vết của các hành động tấn công
Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vikhông bình thương nào của hệ thống Điều này có thể là cách hữu dụngtrong việc phát hiện các tấn công thực Chúng ta hãy xem xét thêm về vấncác triệu chứng để có thể lần theo dấu vết của những kẻ xâm phạm
Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cảngười dùng và kẻ tấn công Việc kiểm tra tính đúng đắn về cách sửdụng file bằng các bộ quét toàn vẹn và việc hiểu biết đến các bộ quétlỗ hổng là cần thiết để phát hiện những cuộc tấn công đang trong quátrình thực thi hoặc lần theo những hỏng hóc từ các tấn công thànhcông Từ những vấn đề đó nảy sinh ra các vấn đề công nghệ dưới đây:
Sự phát hiện của bộ quét Công cụ kiểm tra tính toàn vẹn filehoạt động theo một cách có hệ thống để có thể sử dụng các kỹ thuật
Trang 18mô hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ:phần mềm anti-SATAN
Một sự tương quan giữa việc quét và sử dụng là rất cần thiết– việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năngdịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công cóthể xuất hiện trong tương lai
5.2.2 Hoạt động mạng khác thường có tính chất định kỳ
Một kẻ xâm phạm đang muốn tấn công một hệ thống thườngkhai thác các ứng dụng và tiến hành nhiều phương pháp thử Các hoạtđộng xâm phạm thường khác với hoạt động của người dùng đang làmviệc với hệ thống Bất kỳ một công cụ kiểm tra thâm nhập đều có thểphân biệt các hoạt động khả nghi sau một ngưỡng Nếu vượt quá mộtngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện vàcông bố cho bạn biết Đây là kỹ thuật thụ động cho phép phát hiện kẻxâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cầnqua việc kiểm tra định lượng
Phương pháp thụ động sử dụng trong việc phát hiện xâm nhậpđược điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đềuđặn và được xem xét theo các khía cạnh dưới đây:
Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạtđộng hợp lệ và nghi ngờ (để kích hoạt các báo cảnh) Các hoạt độngmạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số đượclấy từ (ví dụ) profile người dùng hoặc trạng thái Session
Thời gian giữa những lần lặp là một tham số để xác địnhthời gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạtđộng bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăngnhập không thành công
Trang 19Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công.Một kẻ tấn công có thể có các hành động trung tính (hầu như xảy ratrong giai đoạn thăm dò) và điều đó có thể làm sai lệnh các thiết bịphòng chống IDS
5.2.3 Các lệnh không được đánh hoặc trả lời trong các session tự động
Các dịch vụ và giao thức mạng được minh chứng theo nhữngcách nghiêm ngặt và sử dụng các công cụ phần mềm nhận dạng Bất
kỳ một sự không tương thích nào với các mẫu đã được đưa ra (gồm cócác lỗi con người như việc xuất hiện lỗi in trong gói mạng) có thể làthông tin có giá trị để phát hiện ra dịch vụ đang bị nhắm đến bởi kẻxâm nhập
Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữchậm mail, thì chuỗi bản ghi của nó sẽ thể hiện thói quen thôngthường hoặc có thể đoán trước Mặc dù vậy, nếu bản ghi chỉ thị rằngmột quá trình đặc biệt nào đó đã cung cấp các lệnh không hợp lệ thìđây vẫn có thể là một triệu chứng của một sự kiện bình thường hoặcmột sự giả mạo
Kiểm tra những tác động tấn công:
Phát hiện tấn công để khôi phục lại được các lệnh hoặc câutrả lời dưới đây bằng việc khởi chạy chúng
Phát hiện một số tấn công thất bại có thể thấy được giaothức cú pháp của những lần tấn công thành công trước đó
Việc phát hiện các tấn công đang nghiên cứu để thích nghinhằm bắt các lỗi liên quan đến cùng một đối tượng (dịch vụ, host).Sau một chu kỳ nào đó, các lỗi này sẽ ngừng
Trang 205.2.4 Mâu thuẫn trực tiếp trong lưu lượng
Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session làmột trong những triệu chứng tấn công tiềm ẩn Xem xét dữ liệu nguồn
và địa điểm (trong nước hoặc nước ngoài) có thể nhận dạng trực tiếpvề một gói tin
Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên.Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một sessionđang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ mộtmạng nội bộ là một session gửi đi
Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấuhiệu của một vụ tấn công:
Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạngnội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trongtrường hợp đó các gói có địa chỉ nguồn bên trong của chúng Tìnhhuống này có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài.Các vấn đề như vậy có thể được giải quyết tại các bộ định tuyến,chúng có thể so sánh địa chủ nguồn với vị trí đích Trong thực tế, số ítbộ định tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dànhcho tường lửa
Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đếnmạng ở ngoài với một địa chỉ đích của nó – trường hợp ngược lại Kẻxâm nhập thực hiện từ bên ngoài và nhắm vào một hệ thống ở ngoài
Các gói có các cổng nguồn và đích không mong muốn – nếucổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợpvới loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập(hoặc quét hệ thống) Ví dụ: yêu cầu Telnet Service trên cổng 100trong môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể
Trang 21Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
được hỗ trợ (nếu có) Sự mâu thuẫn trực tiếp hầu như đều có thể đượcphát hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ Mặc dùvậy, các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thốngphát hiện xâm phạm
5.2.5 Các thuộc tính không mong muốn
Các trường hợp thường xảy ra nhất là ở những nơi phải xử lýmột số lượng lớn các thuộc tính của gói hoặc các yêu cầu cụ thể đốivới dịch vụ Chúng ta hoàn toàn có thể định nghĩa mẫu thuộc tínhmong đợi Nếu các thuộc tính gặp phải không phù hợp với mẫu này thìnó có thể là một hành động xâm phạm
Các thuộc tính thời gian và lịch biểu – trong môi trường nàođó, hành vi mạng cụ thể có thể xảy ra một cách thường xuyên tại mộtthời điểm nào đó trong ngày Nếu hành vi thông thường này bị phá vỡthì trường hợp này cần phải được kiểm tra Ví dụ, chúng tôi sử dụngmột công ty, nơi mà việc vận chuyển được tiến hành vào chiều thứ sáuhàng tuânà Bằng cách đó, dữ liệu số trao đổi trong các phiên giaodịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xemnhư các hành động bình thường Tuy nhiên nếu thứ sáu là ngày nghỉ
mà vẫn xuất hiện việc truyền tải dữ liệu thì vấn đề này cần phải kiểmtra
Thuộc tính tài nguyên hệ thống Các xâm phạm nào đóthường liên làm ảnh hưởng xấu cho một số các thuộc tính hệ thống.Việc bẻ khóa bằng cách thử lặp đi lặp lại password nhiều lần thườngliên quan đến sự sử dụng phần lớn hiệu suất CPU giống như các tấncông DoS với các dịch vụ hệ thống Sử dụng nhiều tài nguyên hệthống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ
và kết nối mạng) đặc biệt là những thời điểm không bìng thường rấtcó thể là một dấu hiệu
Trang 22 Với các gói có các thiết lập TCP phúc đáp không mong đợi.Nếu có một tập ACK-flag thông qua một gói và không có SYN-packet(gói đồng bộ) trước được gửi thì cũng có thể là một trường hợp tấncông (hoặc quét dịch vụ) Tình huống như vậy có thể cũng là trườnghợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhấtthiết là một tấn công
Dịch vụ trộn lẫn các thuộc tính Thông thường chúng ta cóthể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp chomột người dùng cụ thể Ví dụ: nếu người dùng đang trong chuyến đicông tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tảifile Bất kỳ những cố gắng nào liên quan đến tài khoản của anh tathông qua Telnet để truy cập vào các cổng đều có thể là những tấncông
Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ,
cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phânbiệt các thuộc tính điển hình và các thuộc tính không mong muốn.Một file dấu hiệu giữ một số các dịch vụ chung của một người dùng
cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính Các thông tinnày bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vịtrí của máy trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụngtài nguyên, khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ
5.2.6 Các vấn đề không được giải thích
Một kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguyhiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục tronghành vi của một hệ thống Việc kiểm tra các ảnh hưởng như vậythường khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện Dướiđây là một số ví dụng của nó:
Trang 23Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Các vấn đề không mong muốn với phần cứng hoặc phầnmềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạtđộng, những lần khởi động lại hệ thống không mong muốn, thay đổicác thiết lập đồng hồ hệ thống
Các vấn đề tài nguyên hệ thống: tràn file hệ thống; sự sửdụng hiệu suất CPU không cách không bình thường
Các thông báo kỳ cục từ các tiện ích hệ thống, các tiện íchhệ thống không hoạt động hoặc bị phá hủy Những triệu chứng nhưvậy luôn phải nghi ngờ
Các vấn đề hiệu suất hệ thống (các bộ định tuyến hoặc cácdịch vụ hệ thống có thời gian đáp ứng máy chủ quá lâu)
Hành vi người dùng không mong muốn, ví dụ: truy cậpkhông mong muốn vào tài nguyên hệ thống
Hành vi kiểm định không mong muốn Các bản ghi kiểmđịnh thu nhỏ kích thước (trừ khi được cố ý bởi quản trị viên hệ thống)
VI Phân loại IDS
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập tráiphép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3yếu tố cơ bản nền tảng sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trênmạng
Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biếthành động nào là tấn công
Trang 24Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích
ở trên
6.1 Network - based IDS (NIDS)
6.1.1 Mô hình thiết kế Network – based IDS
Hình: Mô hình Netword – based IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trêntoàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượngtrùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộbộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhậnđược một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đếntrạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn nhữngxâm nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi
Trang 25Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiệnđó là tấn công hay không
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài đểgiám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệtđược thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưulượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khilưu lượng mạng hoạt động ở mức cao
Các hệ thống xâm nhập mạng điển hình là: Cisco Secure IDS (tên cũ làNetRanger), Hogwash, Dragon, E-Trust IDS
6.1.2 Lợi thế của Network – based IDS
- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
6.1.3 Hạn chế của Network – based IDS
Có thể xảy ra trường hợp báo động giả (false positive), tức không cóintrusion mà NIDS báo là có intrusion
Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự antoàn