Tìm hiểu và triển khai hệ thống phát hiện xâm nhập ids snort tại các doanh nghiệp vừa và nhỏ

Tìm hiểu và triển khai hệ thống phát hiện xâm nhập ids snort tại các doanh nghiệp vừa và nhỏ

LỜI CẢM ƠN

Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn, khoa Công nghệ thôngtin, trường Đại Học Duy Tân Đà Nẵng , đã tạo điều kiện cho em thực hiện đồ án

chuyên ngành Xin chân thành cảm ơn thầy giáo ThS Nguyễn Minh Nhật đã tận

tình hướng dẫn, giúp đỡ em hoàn thành đồ án này

Cuối cùng, em xin bày tỏ lòng biết ơn đến gia đình và bạn bè đã giúp đỡ, độngviên em rất nhiều trong suốt quá trình học tập và làm đồ án đã giúp đỡ và chia sẻcho em những kinh nghiệm rất quý giá trong quá trình em thực tập tại công ty để

em hoàn thành

Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắcchắn đồ án này còn có nhiều thiếu sót Em rất mong nhận được những ý kiến đónggóp quý báu từ thầy cô và các bạn

Cuối cùng tôi kính chúc quý Thầy, Cô sức khỏe và đạt được nhiều thànhcông tốt đẹp trong cuộc sống

MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ HỆ THỐNG PHÁT

HIỆN XÂM NHẬP 10

1.1 BẢO MẬT HỆ THỐNG 10

1.1.1 Khái niêm về bảo mật 10

1.1.2 Sự cần thiết của bảo mật 11

1.3.1 Mối đe dọa không có cấu trúc ( Untructured threat) 11

1.3.2 Mối đe dọa có cấu trúc ( Structured threat) 11

1.3.3 Mối đe dọa từ bên ngoài (External threat) 12

1.3.4 Mối đe dọa từ bên trong( Internal threat ) 12

1.2 GIỚI THIỆU VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (IDS – I NTRUSION D ETECTION S YSTEM ) 13

1.2.1 Định nghĩa hệ thống phát hiện xâm nhập – IDS 13

1.2.2.Lợi ích và tầm quan trọng của hệ thống IDS 15

1.2.3.1 Lợi ích của hệ thống IDS 15

1.2.3.2 Tầm quan trọng của hệ thống IDS 15

1.2.3.PHÂN LOẠI 18

1.2.4.1 NIDS (Netword Intrusion Detection System) 19

1.2.4.1.HIDS (Host Intrusion Detection System) 22

1.2.5.KIẾN TRÚC CỦA IDS 25

1.2.5.1.Các nhiệm vụ thực hiện 25

1.2.5.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS 27

1.2.6 NGUYÊN LÝ HOẠT ĐỘNG 30

LỜI CẢM ƠN 1

MỤC LỤC 2

DANH MỤC CÁC TỪ VIẾT TẮT 5

DANH MỤC HÌNH 7

LỜI NÓI ĐẦU 8

1.2.6.1 Sơ lượt về hoạt động của hệ thống 30

1.2.6.2 Xử lý kiểm định Online 31

1.2.6.3 Phát hiện dấu hiệu không bình thường 33

1.2.6.4 Các mẫu hành vi thông thường- phát hiện bất thường 34

1.2.6.5 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu 35

1.2.6.6 Tương quan các mẫu tham số 37

1.2.7 CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS 37

1.5.1.Denial of Service attack (Tấn công từ chối dịch vụ) 37

1.5.2.Scanning và Probe (Quét và thăm dò) 38

1.5.3.Password attack (Tấn công vào mật mã) 39

1.5.4.Privilege-grabbing (Chiếm đặc quyền) 40

1.5.5.Hostile code insertion (Cài đặt mã nguy hiểm) 41

1.5.6.Cyber vandalism (Hành động phá hoại trên máy móc) 42

1.5.7.Proprietary data theft (Ăn trộm dữ liệu quan trọng) 42

1.5.8.Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng) 43

1.5.9.Audit trail tampering (Can thiệp vào biên bản) 44

1.5.10.Security infrastructure attack (Tấn công hạ tầng bảo mật) 44

2.1 SNORT VÀ NGUYÊN LÝ HOẠT ĐỘNG 46

2.1.1 Tổng quan về SNORT 46

2.1.2 Nguyên lý hoạt động 46

2.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG 48

2.2.1 Bộ giải mã gói (Packet Decoder) 48

2.2.2 Bộ tiền xử lý (Preprocessor) 48

2.2.3 Bộ phát hiện (Detection Engine) 50

2.2.4 Hệ thống ghi và cảnh báo (Logging và Alerting System) 52

2.2.5 Bộ phận đầu ra (Output Modules) 52

CHƯƠNG II: HỆ THỐNG SNORT 46

2.3.1 Giới thiệu 53

2.3.2 Cấu trúc luật của Snort 54

2.4 CHẾ ĐỘ NGĂN CHẶN CỦA SNORT: SNORT – INLINE 67

2.4.1 Tích hợp khả năng ngăn chặn vào Snort 67

2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode 68

2.5 CÁC CƠ CHẾ HOẠT ĐỘNG CỦA SNORT 69

2.5.1 Sniffer 69

2.5.2 Packet logger 69

2.5.3 NIDS 70

2.6 NHỮNG ĐIỀU CẦN LƯU Ý 71

2.6.1 Vị trí của bộ cảm biến 72

2.6.2 Các hệ thống và mạng phải giám sát 72

2.6.3 Tạo các điểm kết nối 74

2.6.4 Lưu lượng mã hóa 74

2.6.5 Bảo mật bộ cảm biến Snort 75

3.1 GIỚI THIỆU KỊCH BẢN 76

3.2 THỰC HIỆN 78

3.2.1 Cài đặt và cấu hình 78

3.2.2 CÀI SNORT VÀ GÓI BỔ TRỢ 78

3.3 DEMO SNORT 84

KẾT LUẬN 88

TÀI LIỆU THAM KHẢO 89

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG SNORT 76

DANH MỤC CÁC TỪ VIẾT TẮT

IDS Intrusion Detection SystemNIDS Network Base Intrusion Detection SystemDoS Denial of Service

HIDS Host Base Intruction Detection SystemOSI Open Systems Interconnection

OS Operating SystemSSL Secure Socket LayerSSH Secure Shell

DMZ demilitarized zoneCPU Central Processing UnitPIDS Protocol based Intrucsion Detection System

APIDS Application Protocol Based Intrusion

Detection SystemHTTP Hypertext Transfer Protocol

URL Uniform Resource LocatorTCP Transmission Control ProtocolSNMP Simple Network Management Protocol

UDP User Datagram Protocol

DANH MỤC HÌNH VẼ

HÌNH 1 1 ĐỊNH NGHĨA HỆ THỐNG PHÁT HIỆN XÂM NHẬP – IDS 16

HÌNH 1 2 MÔ HÌNH SỬ DỤNG CHỨNG CHỈ ĐỂ ĐẢM BẢO TÍNH TIN CẬY 17

HÌNH 1.3: MÔ HÌNH HỆ THỐNG 18

HÌNH 1.4 MÔ HÌNH NIDS 19

HÌNH 1.5 MÔ HÌNH HIDS 22

HÌNH 1.6 QUY TRÌNH HOẠT ĐỘNG CỦA IDS 26

HÌNH 1.7 CƠ SỞ HẠ TẦNG IDS 26

HÌNH1.8 KIẾN TRÚC HỆ THỐNG IDS 27

HÌNH 1.9 THÀNH PHẦN CỦA IDS 28

HÌNH 2.1 KIẾN TRÚC CÁC THÀNH PHẦN CỦA SNORT 47

HÌNH 2.2 BỘ TIỀN XỬ LÝ (PREPROCESSOR) 48

HÌNH 2.3 BỘ PHÁT HIỆN (DETECTION ENGINE) 51

HÌNH 2.4 BỘ PHẬN ĐẦU RA (OUTPUT MODULES) 52

HÌNH 2.5.CẤU TRÚC LUẬT CỦA SNORT 54

HÌNH 2.6 HEADER LUẬT CỦA SNORT 55

HÌNH 3.1 MÔ HÌNH MẠNG CÔNG TY CÁC CHUYÊN 76

HÌNH 3.2 MÔ HÌNH GIẢI PHÁP KẾT HỢP IDS 77

HÌNH 3.3 GIAO DIỆN DOWN RULE VÀ SNORT 78

HÌNH 3.4 GIAO DIỆN BASE 84

HÌNH 3.5 MÔ HÌNH DEMO 85

LỜI NÓI ĐẦU

1 GIỚI THIỆU

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanhnghiệp ngày nay Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trongviệc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị Đã cónhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trênInternet như: Sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)…trong

đó có hệ thống phát triển xâm nhập

Phát hiện xâm nhập là một tập những công nghệ và phương thức dung đểphát hiện hành động khả nghi trên cả host và mạng Các phương pháp phát hiệnxâm nhập bắt đầu xuất hiện những năm gần đây Sử dụng phương thức phát hiệnxâm nhập bắt đầu xuất hiện những năm gần đây Sử dụng phương thức phát hiệnxâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã biết đểtìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân Thông tin thu thậptheo cách này có thể sử dụng cho mạng chúng ta an toàn hơn, nó hoàn toàn hợppháp, sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là mộtphương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới,các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt vớicác phương pháp bảo mật truyền thống Nó đã được nghiên cứu, phát triển, ứngdụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảomật Mặc dù các phương pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vịtrí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn khôngchỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà còn

có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu

sử dụng và có thể ứng dụng rộng rãi trong thực tiễn

2 Ý NGHĨA CỦA ĐỀ TÀI

Hiện nay các vụ vi phạm bảo mật ngày càng tinh vi hơn cùng với sự giatăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phươngpháp bảo mật truyền thống không chống được

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn khôngchỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phépvới vai trò là phương pháp dò tìm và phát hiện xâm nhập mạng trên SNORT bổsung cho những phương pháp bảo mật hiện tại, mà còn có thể ứng dụng vào thựctiễn nhằm nâng cao tính bảo mật, đảm bảo sự an toàn cho các hệ thống và chấtlượng dịch vụ cho người dùng

3 MỤC TIÊU CỦA ĐỀ TÀI

- Tìm hiểu, tổng hợp và phân tích những vấn đề liên quan đến hệ thống dò tìm

và phát hiện xâm nhập IDS

- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort

- Tìm hiểu phương pháp và triển khai thử nghiệm cài đặt Snort NIDS trên hệlinux

4 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU

- Hệ thống dò tìm và phát hiện xâm nhập IDS

- Hệ thống HIDS Snort

- Xây dựng hệ thống snort IDS trên linux

5 PHƯƠNG PHÁP NGHIÊN CỨU

Đề tài sử dụng các phương pháp nghiên cứu sau :

- Tổng hợp các kết quả nghiên cứu từ các tư liệu liên quan

- Phân tích đánh giá phương pháp và đưa ra các giải pháp lựa chọn

- Xây dựng thử nghiệm mô hình

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ HỆ THỐNG PHÁT

HIỆN XÂM NHẬP 1.1 BẢO MẬT HỆ THỐNG

1.1.1 Khái niêm về bảo mật

Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâucác khái niệm về bảo mật Khi hiểu sâu các khái niệm về bảo mật, phân tích chínhxác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mậtnhững vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công Sauđây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm giatăng độ an toàn cho hệ thống:

- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận

dạng của thực thể liên kết Thực thể đó có thể là người dùng độc lập hay tiến trìnhcủa phần mềm

- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào

các tài nguyên của hệ thống

- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi

những nhóm không được phép truy nhập Tính cẩn mật yêu cầu dữ liệu trên máy

và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép

- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu

nó ngăn sự thay đổi dữ liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa vàxem lại thông điệp đã được truyền

- Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối

với nhóm được phép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoạitính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài

1.1.2 Sự cần thiết của bảo mật

Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất

cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùngvới việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấncông trên Internet Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội chonhững kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làmviệc tốt mà không cần lo lắng quá về việc tăng nguy cơ bị tấn công

1.3.1 Mối đe dọa không có cấu trúc ( Untructured threat)

Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies(những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ítkhả năng lập trình) hay những người có trình độ vừa phải Hầu hết các cuộc tấncông đó vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu

Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng

nó vẫn là một mối nguy hại lớn

1.3.2 Mối đe dọa có cấu trúc ( Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Khôngnhư Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, cóthể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới Động cơthường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các cuộc tấncông này thường có mục đích từ trước Các cuộc tấn công như vậy thường gây hậuquả nghiêm trọng cho hệ thống Một cuộc tấn công structured thành công có thểgây nên sự phá hủy cho toàn hệ thống

1.3.3 Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không có một quyềnnào trong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có thểthực hiện các cuộc tấn công như vậy

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại externalthreat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động củakiểu tấn công này xuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa mà cáccông ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa

1.3.4 Mối đe dọa từ bên trong( Internal threat )

Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậytrong mạng Mối đe dọa này khó phòng chống hơn vì các nhân viên có thể truy cậpmạng và dữ liệu bí mật của công ty Mối đe dọa ở bên trong thường được thực hiệnbởi các nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương phápbảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nốibên ngoài, như là Internet Khi vành đai của mạng được bảo mật, các phần tin cậybên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượtqua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơngiản

Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với

sự giúp đỡ của người bên trong hệ thống Trong trường hợp đó, kẻ tấn công trởthành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệthống và ăn trộm tài nguyên quan trọng của công ty Structured internel threat làkiểu tấn công nguy hiểm nhất cho mọi hệ thống

1.2 GIỚI THIỆU VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (IDS – Intrusion Detection System)

1.2.1 Định nghĩa hệ thống phát hiện xâm nhập – IDS

Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là hệthống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ratrên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,bảo mật

IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ nhữngngười trong công ty, trong hệ thống) hay tấn công từ bên ngoài (từ các hacker).IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống nhưcách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệtvirus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạcchuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

1.2.2 Lịch sử ra đời và phát triển

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua mộtbài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm vànghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, pháthiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Cácnghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm

1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa

Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệthống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuynhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sựbùng nổ của công nghệ thông tin

Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợinhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quantrọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ anninh được sử dụng nhiều nhất và vẫn còn phát triển.

Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu vàphân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gâychấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS)

sẽ không còn nữa vào năm 2005” Phát biểu này của xuất phát từ một số kết quảphân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với các vấn đềsau:

- IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives)

- Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõiliên tục (24 giờ trong suốt cả 365 ngày của năm)

- Kèm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vấtvả

- Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độlớn hơn 600 Megabit trên giây

Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của nhữngkhách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khókhăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư

Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệthống IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tạitrong việc quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát

và phân tích gói tin của IDS Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả,vai trò của các công cụ, con người quản trị là rất quan trọng, cần phải đáp ứngđược các tiêu chí sau:

- Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được pháthiện bởi các IDS, tường lửa để tránh các báo động giả

- Các thành phần quản trị phải tự động hoạt động và phân tích

- Kết hợp với các biện pháp ngăn chặn tự động.

Kết quả là tới năm 2005, thế hệ sau của IDS-hệ thống tự động phát hiện

và ngăn chặn xâm nhập IPS, đã dần khắc phục được các mặt còn hạn chế củaIDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó

1.2.2 Lợi ích và tầm quan trọng của hệ thống IDS

1.2.3.1 Lợi ích của hệ thống IDS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưabiết trước Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng,lợi ích mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước nhữngnguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện đượcnhững nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp

Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗhổng về bảo mật trong môi trường mạng

Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quáchung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnhbáo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bìnhthường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệthống đều có ít khả năng giới hạn các cảnh báo nhầm đó

1.2.3.2 Tầm quan trọng của hệ thống IDS

a Sự giới hạn của các biên pháp đối phó

Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Cáccông cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chếriêng làm hệ thống vẫn có nguy cơ bị tấn công cao

Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và

Internet bên ngoài, cung cấp cơ chế phòng thủ từ vành đai, hạn chế việc truyềnthông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệthống

Hình 1 1 Định nghĩa hệ thống phát hiện xâm nhập – IDS

Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể.Tuy nhiên Firewall cũng có những điểm yếu sau:

- Firewall không quản lý các hoạt động của người dùng khi đã vào được hệthống, và không thể chống lại sự đe dọa từ trong hệ thống

- Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việcnày có thể cho phép việc thăm dò điểm yếu

- Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môitrường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

- Hacker có thể sử dụng phương thức tác động đến yếu tố con người đểđược truy nhập một cách tin cậy và loại bỏ được cơ chế firewall

- Firewall không ngăn được việc sử dụng các modem không được xác thựchoặc không an toàn gia nhập hoặc rời khỏi hệ thống

VPN và cơ chế mã hóa cung cấp khả năng bảo mật cho việc truyền thôngđầu cuối các dữ liệu quan trọng Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn vớinhững người không được xác thực Việc truyền thông sẽ trở nên mở, không đượcbảo vệ và quản lý với những hành động của người dùng

Hình 1 2 Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy

Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuynhiên chúng không phát hiện được cuộc tấn công đang tiến hành Phát hiện xâmnhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lýmôi trường cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay

có ý đồ xấu”

b Sự cần thiết của hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họkhỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thôngtin Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câuhỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiệnxâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho

họ, bổ sung những điểm yếu của hệ thống khác…

Hệ thống phát hiện xâm nhập giúp giám sát lưu thông mạng, các hoạt độngkhả nghi và cảnh báo cho hệ thống, nhà quản trị Nó cũng có thể phân biệt giữanhững tấn công bên trong từ bên trong (từ những người trong công ty) hay tấncông từ bên ngoài (từ các hacker)

Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên quan trọng,nhưng nó có được chấp nhận là một thành phần thêm vào cho mọi hệ thống antoàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.

- Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện

hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được địnhnghĩa là tấn công

- Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt

động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệthống Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâmnhập

- Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái

phép và những hành động dị thường

Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:

- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên

mạng

- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho

biết hành động nào là tấn công

- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân

bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhậnđược một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm

nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi nhữnggói tin trong mạng so sánh với mẫu đã được định nghĩa để phát hiện đó là tấn cônghay không.

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giámsát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiếtlập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạngđược sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượngmạng hoạt động ở mức cao

a Lợi thế của Network-Based IDS

- Quản lý được cả một network segment (gồm nhiều host) "Trong suốt"

với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.

- Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).

- Độc lập với OS.

b Hạn chế của Network-Based IDS

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có

xâm nhập mà NIDS báo là có xâm nhập

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH,

IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an

toàn Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khibáo động được phát ra, hệ thống có thể đã bị tổn hại

Không cho biết việc attack có thành công hay không Một trong những hạnchế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượngmạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng

tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp là bảo đảm cho mạngđược thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò Khi mà mạngphát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông vàbảo mật tốt nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khigặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗigiao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơnkích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quátrình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thànhvấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phânmảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiềuhacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnhchồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộcảm biến không thể sắp xếp lại những gói thông tin một cách chính xác

1.2.4.1 HIDS (Host Intrusion Detection System)

Hình 1.5 Mô hình HIDS

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trênmáy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưulượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, nhữngcuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệthống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấncông, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công

có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhậnnhững việc mà người tấn công đã làm trên máy chủ bị tấn công (compromisedhost)

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cáchgiành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻxâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất

cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trên máy chủ có thểphát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theodõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập cóhiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phầnmềm phát hiện khi đã có quyền truy cập vật lý

HIDS

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn cáckiểu tấn công dùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp cácphân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.

HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sáthoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên mộtmáy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các servertrong vùng DMZ, thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính củaHIDS là giám sát các thay đổi trên hệ thống, bao gồm:

a Lợi thế của HIDS

- Có khả năng xác đinh user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên hostnày

b Hạn chế của HIDS

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào hostnày thành công

- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị DOS

- Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có một sốchạy được trên UNIX và những hệ điều hành khác

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặttrên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khinâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việctốn nhiều thời gian và là những việc làm phức tạp Bởi vì hệ thống dựa trên máychủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thểphát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lạimột máy chủ hay là một nhóm máy chủ Hệ thống IDS dựa trên máy chủ sẽ khôngphát hiện được những chức năng quét ping hay dò cổng (ping sweep and portscans) trên nhiều máy chủ Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn cóthể tắt phần mềm IDS hay tắt kết nối của máy chủ đó Một khi điều này xảy ra thìcác máy chủ sẽ không thể tạo ra được cảnh báo nào cả

Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cungcấp đầy đủ khả năng cảnh báo của mạng Trong một môi trường hỗn tạp, điều này

có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khácnhau Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp vàchạy được trên tất cả các hệ điều hành

1.2.5 KIẾN TRÚC CỦA IDS

Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việcphân tích và kiểm tra khác nhau của các hệ thống Một hệ thống IDS được xem là

thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa racác thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎnchặn thành công và chính sách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểmcũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hìnhtổng quát chung như sau:

1.2.5.1 Các nhiệm vụ thực hiện

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệthống máy tính bằng cách phát hiện các dấu hiệu tấn công Việc phát hiện các tấncông phụ thuộc vào số lượng và kiểu hành động thích hợp Để ngăn chặn xâmphạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứucác mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyênđược bảo vệ là một nhiệm vụ quan trọng khác Toàn bộ hệ thống cần phải đượckiểm tra một cách liên tục Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhậpđược kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để pháthiện các dấu hiệu tấn công (sự xâm phạm)

Hình 1.6 Quy trình hoạt động của IDS

- Prevention ( phòng và ngăn chặn được tấn công), Simulation (môphỏng)

- Intrustion Monitoring ( giám sát biết được chuyện gì đang xảy ra của kẻxâm nhập), Analysis (phân tích)

- Intruction detection (phát hiện xâm nhập ), Notification (thông báo)

- Respose (Phản ứng)

Hình 1.7 Cơ sở hạ tầng IDS

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đếncác quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi cácquản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổsung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến cáckết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mậtcủa các tổ chức (Hình1.7 ) Một IDS là một thành phần nằm trong chính sách bảomật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trongnhững nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp

lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấncông trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy

ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc cácchữ ký thông qua mail

1.2.5.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Hình1.8 Kiến trúc hệ thống IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thuthập gói tin (information collection), thành phần phân tích gói tin(Dectection),thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn côngcủa tin tặc

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất

và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vàophân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập lànhư thế nào

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sựkiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế

độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấpmột số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của

hệ thống hoặc các gói mạng Số chính sách này cùng với thông tin chính sách cóthể được lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hợp nào

đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà

không có sự lưu dữ liệu nào được thực hiện Điều này cũng liên quan một chút nào

đó đến các gói mạng

Hình 1.9 Thành phần của IDS

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thểphát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chínhsách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công,profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào

đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông vớimodule đáp trả Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu

về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tườnglửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạnglớn, tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lýcấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạngđược bảo vệ

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trongvùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bướcđầu và thậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo

cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọngcủa IDS DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt đượctrang bị sự phát hiện các tấn công phân tán Các vai trò khác của tác nhân liên quanđến khả năng lưu động và tính roaming của nó trong các vị trí vật lý Thêm vào đó,các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào

đó Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểutấn công mới

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tácnhân tự trị cho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tramột khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: mộttác nhân có thể cho biết một số không bình thường các telnet session bên trong hệthống nó kiểm tra Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sựkiện khả nghi Các tác nhân có thể được nhái và thay đổi bên trong các hệ thốngkhác (tính năng tự trị) Một phần trong các tác nhân, hệ thống có thể có các bộphận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ởmột host cụ thể nào đó Các bộ thu nhận luôn luôn gửi các kết quả hoạt động củachúng đến bộ kiểm tra duy nhất Các bộ kiểm tra nhận thông tin từ các mạng(không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tinphân tán Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập

dữ liệu

Ngoài ra còn có 1 số điểm chú ý sau:

- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức củadoanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanhnghiệp

- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việckiểm soát , kiểm tra thông tin đầu vào đầu ra:

 Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác nhưkiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:

 Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thànhphần rồi về báo cáo về vị trí trung tâm.

 Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâmchính trực tiếp điều khiển các thao tác giám sát, kiểm tra báo cáo

1.2.6 NGUYÊN LÝ HOẠT ĐỘNG

1.2.6.1 Sơ lượt về hoạt động của hệ thống

Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạtđộng thông thường của người dùng và hoạt động bất thường để tìm ra được các tấncông nguy hiểm kịp thời Mặc dù vậy, việc dịch các hành vi người dùng (hoặcsession hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảomật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước vàkhông rõ ràng Để phân loại các hành động, IDS phải lợi dụng phương pháp pháthiện dị thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết

bị mô tả hành vi bất thường đã biết (phát hiện dấu hiêu) cũng được gọi là kiến thức

Điều này tạo sự phức tạp trong tính toán, các thuật toán được sử dụng ở đâyphải yêu cầu nhanh và hiệu quả do đó phải áp dụng thuật toán đơn giản Điều này

là do sự đáp ứng giữa những điều kiện cần thiết chính – khả năng phát hiện tấncông và sự phức tạp của các cơ chế xử lý dữ liệu được sử dụng trong đó

Tại cùng một thời điểm, thiết lập một công cụ IDS xử lý “online” cần đếnmột số lượng lớn RAM bởi vì không có sự lưu trữ dữ liệu nào được sử dụng ở đây

Vì vậy, một IDS như vậy đôi khi bỏ lỡ các gói vì thực tế, ở đây có quá nhiều góikhông phù hợp Số lượng dữ liệu được lựa chọn bằng bộ phát hiện rất nhỏ bởi vì

nó chỉ quan sát các nội dung nhớ Do vậy chỉ có một phần nhỏ thông tin được phântích cho một chuỗi hoặc giá trị nào đó đang tìm kiếm

Phương pháp chính được sử dụng trong phát hiện thời gian thực đơn giản làtìm kiếm các chuỗi kí tự trong gói lớp truyền tải, cụ thể là trong các header củachúng Điều này có thể thực hiện bằng việc kiểm tra các địa chỉ IP khởi tạo kết nốihoặc bằng việc kiểm tra sự kết hợp cờ TCP/IP không thích hợp (để bắt các góikhông hợp với các chuẩn đã biết) Một ví dụ về nghiên cứu gói ở đây là khi các địachỉ cổng nguồn và đích được thiết lập là 21 Điều này không tuân theo chi tiết kỹthuật FTP bởi vì số cổng nguồn phải lớn hơn 1024 Một ví dụ khác có thể là loạidịch vụ giá trị 0, một gói có các cờ SYN và FIN đều được thiết lập không hợp vớiviệc đánh số của chuỗi hoặc những gì đã biết, giá trị ACK được lập khác 0 khi cờACK không được thiết lập,…Tương phản với các phương pháp thẩm tra chuẩn, chỉlựa chọn các gói trong luồng dữ liệu được tranh tra và quá trình thanh tra chỉ tìmkiếm thông tin trạng thái như gói đó có gồm mã nguy hiểm hay không

Một phương pháp khác đôi chút được áp dụng trong phân tích lớp ứng dụng(FTP, POP3, HTTP,…) IDS dựa trên ứng dụng sử dụng sự kiểm tra các gói chuẩn

để phân tích tải trọng TCP (gồm có cả các header) Với phương pháp này, các gói

có liên quan trong luồng dữ liệu được kiểm tra và quá trình kiểm tra sẽ tìm kiếmthông tin về gói nào hợp lệ với gói điển hình (các lệnh) của một giao thức đượccho Như vậy, lỗ hổng từ chối dịch vụ POP3 được khai thác bằng việc làm bão hòamáy chủ POP3 với nhiều yêu cầu để thực thi một lệnh Do đó, dấu hiệu tấn côngđược mở rộng bằng số lệnh đã gửi bởi một hệ thống và ngưỡng báo cảnh Phươngpháp này thừa nhận sự bất thường tìm thấy trong khi kiểm tra các gói, việc kiểmtra kích thước gói và các giá trị ngưỡng là để tìm ra các dấu hiệu biểu hiện tấncông từ chối dịch vụ, cũng tại lớp truyền tải Các ví dụ khác về IDS kiểm tra góichuẩn còn có việc phát hiện các virus email trước khi chúng đến được các hòm thư

kiếm mã nguy hiểm có thể thỏa hiệp hệ thống nếu bị tấn công, ví dụ, những khaithác về lỗ hổng bộ đệm đang tìm kiếm các dấu hiệu để kiểm tra trạng thái sessionngười dùng để ngăn chặn, liệt kê cấu trúc thư mục trên một máy chủ FTP trước khimột người dùng đăng nhập thành công Một trở ngại của phương pháp phân tíchlớp cao nằm ở chỗ thực tế rằng nó rất tốn thời gian và phụ thuộc vào môi trườnglàm việc (giao thức lớp ứng dụng thay đổi khác nhau trong các hệ điều hành khácnhau)

Những ưu điểm của IDS thời gian thực:

- Trội hơn về việc phát hiện các tấn công và thậm chí còn xử lý (khóa)chúng

- Khả năng bao phủ các lỗ hổng bảo mật kế đã có từ trước được đối vớicác kiểu tấn công, cụ thể như DoS, không thể phát hiện bằng sử dụngphương pháp phân tích kiểm định chung – phân tích lưu lượng mạngđược cần đến ở đây

- Tiêu tốn ít tài nguyên hệ thống hơn so với các trường hợp khác

Điểm yếu :

- Sự nhận dạng tài nguyên được thực hiện dựa trên địa chỉ mạng được lấy

từ gói (ví dụ, không sử dụng ID mạng) Địa chỉ tài nguyên có thể bị giảmạo, tạo các tấn công khó hơn trong việc lần vết và xử lý tự động

- Không thể quản lý được các gói đã mã hóa do đó không cung cấp đượccác thông tin cần thiết cho phát hiện xâm nhập

- Do module phân tích sử dụng tài nguyên hạn chế (chỉ trong bộ đệm) nênkhả năng phát hiện bị hạn chế theo đó

- Việc quét liên tục lưu lượng mạng sẽ làm giảm thông lượng của mạng.Đây là một vấn đề quan trọng khi các công cụ IDS được triển khai gầntường lửa

1.2.6.3 Phát hiện dấu hiệu không bình thường

Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạtđộng thông thường của người dùng và hoạt động bất thường để tìm ra được các tấncông nguy hiểm kịp thời Mặc dù vậy, việc dịch các hành vi người dùng (hoặcsession hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảomật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước vàkhông rõ ràng Để phân loại các hành động, IDS phải lợi dụng phương pháp pháthiện dị thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết

bị mô tả hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức

cơ bản

1.2.6.4 Các mẫu hành vi thông thường- phát hiện bất thường

Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng

và hành vi hệ thống Do đó các bộ phát hiện bất thường xây dựng profile thể hiệnviệc sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để pháthiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể

Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profilengười dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vingười dùng Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệthống được phép “học” trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo

hệ thống ở điểm này, nơi mà các hành vi xâm phạm trước trở thành hành vi thôngthường Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạtđộng xâm nhập có thể Ngoài ra, còn có một sự cần thiết nữa đó là nâng cấp profile

và “đào tạo” hệ thống, một nhiệm vụ khó khăn và tốn thời gian

Cho một tập các profile hành vi thông thường, mọi thứ không hợp vớiprofile được lưu sẽ được coi như là một hoạt động nghi ngờ Do đó, các hệ thốngnày được đặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấncông mặc dù tấn công đó là mới có trong hệ thống), tuy nhiên chúng lại có hiệntượng là tạo các cảnh báo sai về một số vấn đề

Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng pháthiện các tấn công mới khi có sự xâm nhập; các vấn đề không bình thường đượcnhận ra không cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộcvào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấuhiệu); khả năng phát hiện sự lạm dụng quyền của người dùng

Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều.Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile vàgiai đoạn đào tạo Do đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giaiđoạn này sẽ không hợp lý Các hành vi người dùng có thể thay đổi theo thời gian,

do đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vithông thường.Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thốngkhông có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực)

1.2.6.5 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu

Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn(dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệthống phát hiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúngkhông cao)

Các dấu hiệu hành vi xấu được chia thành hai loại:

- Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ramối đe dọa về bảo mật Điển hình, chúng được thể hiện khi mối quan hệphụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại vớicác hoạt động trung tính

- Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bảnđang tìm kiếm các hoạt động nghi ngờ

- Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản

Do đó, độ chính xác của chúng rất cao (số báo cảnh sai thấp) Tuy nhiên

chúng không thực hiện một cách hoàn toàn và không ngăn cản hoàn toàncác tấn công mới.

- Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:

- Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khaithác lỗ hổng trong các gói IP, TCP, UDP hoặc ICMP Với kiểm tra đơngiản về tập các cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra góinào hợp lệ, gói nào không Khó khăn ở đây có thể là phải mở gói và lắpráp chúng lại Tương tự, một số vấn đề khác có thể liên quan với lớpTCP/IP của hệ thống đang được bảo vệ Thường thì kẻ tấn công hay sửdụng cách mở các gói để băng qua được nhiều công cụ IDS

- Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khaithác các lỗ hổng chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kếtnối mạng đã được thành lập Để phát hiện có hiệu quả các tấn công nhưvậy, IDS phải được bổ sung nhiều giao thức lớp ứng dụng

- Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệcảnh báo sai thấp, thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấuhiệu tấn công, dễ dàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thốngtối thiểu

- Một số nhược điểm:

- Khó khăn trong việc nâng cấp các kiểu tấn công mới

- Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết.Phải nâng cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó

- Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích

và vá các lỗ hổng bảo mật, đó là một quá trình tốn kém thời gian

- Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy,IDS dựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ

những nguyên tắc nghiêm ngặt của nó với hệ điều hành (phiên bản, nềntảng, các ứng dụng được sử dụng…)

- Chúng dường như khó quản lý các tấn công bên trong Điển hình, sựlạm dụng quyền người dùng xác thực không thể phát hiện khi có hoạtđộng mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng vàcấu trúc dấu hiệu tấn công)

- Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiệndấu hiệu cho hai lý do Trước tiên, nó dễ dàng hơn trong việc cung cấpdấu hiệu liên quan đến tấn công đã biết và để gán tên đối với một tấncông Thứ hai, cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thườngxuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện)

1.2.6.6 Tương quan các mẫu tham số

Phương pháp phát hiện xâm nhập khá khôn ngoan hơn các phương pháptrước Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệthống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảomật) Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi.Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của cácquản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường Nó cóthể được xem như trường hợp đặc biệt của phương pháp Profile thông thường Sựkhác nhau ở đây nằm ở chỗ trong thực tế, một profile là một phần hiểu biết củacon người

Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểutấn công không biết Hoạt động hệ thống có thể phát hiện các thay đổi tinh vikhông rõ ràng đối với chính hoạt động đó Nó kế thừa những nhược điểm trongthực tế là con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm, điều

đó có nghĩa là các tấn công nào đó có thể vượt qua mà không bị phát hiện

1.2.7 CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS

1.5.1 Denial of Service attack (Tấn công từ chối dịch vụ)

Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đếnfull-blown packet storm, Denial of service (DoS) attack có mục đích chung là đóngbăng hay chặn đứng tài nguyên của hệ thống đích Cuối cùng, mục tiêu trở nênkhông thể tiếp cận và không thể trả lời DoS tấn công vào các mục tiêu bao gồm 3dạng là mạng, hệ thống và ứng dụng

- Network flooding bao gồm SYN flood, Ping flood hay multi echorequest,…

- Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk,LAND, các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hànhnhằm phá hoại, gây quá tải hệ thống Sự kiện này có thể xảy ra bằngcách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng

có thể được tạo ra bằng các công cụ tấn công được lập trình trước

- Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gâyquá tải hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữliệu, email, trang web,… Ví dụ như một email rất dài hay một số lượnglớn email, hay một số lượng lớn yêu cầu tới trang web có thể gây quá tảicho server của các ứng dụng đó

Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các

gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiệnđược các tấn công dạng gói tin

1.5.2 Scanning và Probe (Quét và thăm dò)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểmyếu Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa,nhưng chúng có thể được sử dụng để gây hại cho hệ thống Các công cụ quét vàthăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và

AXENT NetRecon Việc thăm dò có thể được thực hiện bằng cách ping đến hệ

thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có nhữnglỗi đã được biết đến Vì vậy các công cụ này có thể là công cụ đắc lực cho mụcđích xâm nhập.

Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động

nguy hiểm trước khi chúng xảy ra Yếu tố “time-to-response” rất quan trọng trongtrường hợp này để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại.Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này, nhưng khônghiệu quả bằng giải pháp dựa trên mạng

1.5.3 Password attack (Tấn công vào mật mã)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack Kiểu dễ

nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhấtcho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng.Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằngcách thử nhiều mật mã để mong tìm được mật mã đúng Với bẻ khóa, kẻ tấn côngcần truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấncông sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụngđược để xác định mã đúng Với tốc độ máy tính hiện nay, việc bẻ khóa là rất hiệuquả trong trường hợp mật mã là từ có nghĩa (trong từ điển), bất cứ mã nào nhỏ hơn

6 ký tự, tên thông dụng và các phép hoán vị Hiện nay, Internet cung cấp rất nhiềuchương trình “password hackerware” có thể tải về và sử dụng dễ dàng Các công

cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm lại mật mã,hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm…

- Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng(LOPHT2.0), gửi thư, chương trình có kèm keylogger, trojan cho ngườiquản trị; ngoài ra không thể không kể tới các phương thức tấn công vàoyếu tố con người như nhìn trộm, dùng vũ lực ép buộc,…

- Dự đoán và bẻ khóa ví dụ như: đoán từ tên, các thông tin cá nhân, từ các

từ thông dụng (có thể dùng khi biết username mà không biết mật mã), sử

dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấncông như brute force, đoán mật mã đã mã hóa từ các từ trong từ điển, ta

có một số công cụ như LOPHT Crack, pwldump,…

Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nókhông có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứamật mã hay chạy các chương trình bẻ khóa Trong khi đó Host-based IDS lại rất cóhiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập tráiphép tới file chứa mật mã

1.5.4 Privilege-grabbing (Chiếm đặc quyền)

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyềntruy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ điều hànhUNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trênNetWare là “Supervisor” Các câu lệnh và mã thực hiện cho kỹ thuật trên có thểkiếm được trên Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hayphần mềm ứng dụng để ghi đè các segment vào bộ nhớ Khi chiến thuật này được

sử dụng với chương trình hệ điều hành đặc quyền, nó thường gây lỗi hỏng core,dẫn đến kẻ tấn công có thể có quyền truy cập “superuser” Dưới đây là một số kỹthuật thường dùng cho việc chiếm đặc quyền:

- Đoán hay bẻ khóa của root hay administrator

- Gây tràn bộ đệm

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng

Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định

việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ratrên thiết bị chủ Do Host-based IDS có thể tìm kiếm được những người dùng

không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thốngthông thường, Host-based IDS có thể ngừng hành động này Ngoài ra hành độngchiếm đặc quyền của hệ điều hành và ứng dụng có thể được định nghĩa trong tậpcác dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảyra.

1.5.5 Hostile code insertion (Cài đặt mã nguy hiểm)

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này cóthể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truynhập trái phép tiếp theo Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:

- Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một sốhành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo

ra bản sao của file hệ thống, file của ứng dụng hay dữ liệu Virus thườngđược xác định nhờ vào những hành động có hại của chúng, có thể đượckích hoạt dựa trên sự kiện, ngày,…

- Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫnđến một số hành động tự động, thường có hại, nhưng không có mục đíchnhân bản Thường thì Trojan Horse được đặt tên hay mô tả như mộtchương trình mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạtcác hành động có thể dẫn đến hỏng file hay hệ thống

- Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế mộtchương trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truynhập được vào hệ thống trong tương lai (như “msgina.dll” trên WindowsNT)

- Malicious Apple : đây cũng là một loại Trojan, chúng thường là Javahay ActiveX applet mà người dùng có thể gặp khi duyệt các trang web.Applet đó có vẻ như thực hiện các chức năng bình thường nhưng ẩntrong đó là các hành động nguy hiểm như tải file lên web site của kẻ tấncông