“Phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin”.

Phát hiện tấn công, xâm nhập trái phép vào các hệ thống máy tính và mạngthường được sử dụng như lớp phòng vệ thứ 2 trong mô hình “Phòng vệ nhiều lớp cóchiều sâu” trong việc đảm bảo an toàn cho các hệ thống máy tính và mạng. Nhiều kỹthuật đã được nghiên cứu và triển khai trong hiện tấn công, xâm nhập mạng, như pháthiện dựa trên phân tích lưu lượng mạng, phát hiện dựa trên phân tích header gói tin vàphát hiện dựa trên phân tích sâu gói tin (Deep Packet Inspection). Kỹ thuật phát hiệndựa trên phân tích sâu gói tin có nhiều ưu điểm, đặc biệt trong phát hiện sự lây lan củacác phần mềm độc hại, như sâu mạng. Do vậy, việc tiếp tục nghiên cứu và triển khaimô hình phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin là cần thiết.Vì vậy em chọn đề tài “Phát hiện xâm nhập mạng dựa trên phân tích sâu góitin”. Trên cơ sở phân tích các gói tin TCPIP truyền trên mạng, các dạng tấn công,xâm nhập mạng., đồ án này đã được xây dựng với những nội dung chính như sau:Chương 1: Tổng quan phát hiện, xâm nhập mạngChương 2: Phân tích sâu gói tin dựa trên ngram và ứng dụng trong phát hiệnxâm nhập mạngChương 3: Cài đặt và thử nghiệmMặc dù em đã nỗ lực hoàn thành đề tài này nhưng do còn những hạn chế vềthời gian và hiểu biết của bản thân nên không tránh khỏi những thiếu sót. Vì vậy, emmong nhận được sự góp ý của các thầy cô và các bạn để phục vụ thêm cho công táchọc tập và nghiên cứu của mình trong tương lai.

LỜI CẢM ƠN

Với lòng kính trọng và biết ơn sâu sắc, em xin chân thành cảm ơn các thầy côgiáo tại trường về sự dạy bảo của thầy cô trong quá trình em học tại trường

Em xin đặc biệt cảm ơn Giảng viên người đã hướng dẫn trực tiếp, chỉ

bảo tận tình cho em Đồ án này sẽ khó có thể hoàn thành nếu thiếu sự giúp đỡ,khuyến khích và những ý kiến đóng góp quý báu của cô

Cảm ơn bố mẹ, em gái, bạn bè và các bạn trong lớp đã luôn bên cạnh cổ

vũ, động viên tinh thần để em có thể vượt qua mọi khó khăn

Đồ án được thực hiện trong thời gian ngắn, mặc dù cố gắng tìm hiểu nhưng dokiến thức có hạn nên chắc chắn vẫn còn nhiều thiếu sót Rất mong thầy cô góp ý để đồ

án được hoàn hiện hơn

Cuối cùng, em xin kính chúc các thầy, cô và gia đình luôn luôn mạnh khỏe vàthành công hơn nữa trong sự nghiệp cao quý

Hà Nội, ngày tháng năm 201

Sinh viên

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC HÌNH VẼ iii

LỜI NÓI ĐẦU iv

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG 1

1.1 Khái quát về tấn công mạng và các biện pháp phòng chống 1

1.1.1 Khái quát về tấn công 1

1.1.2 Các dạng tấn công điển hình 3

1.1.3 Các biện pháp phòng chống 5

1.2 Phát hiện tấn công, xâm nhập mạng 7

1.2.1 Khái quát về tấn công, xâm nhập mạng 7

1.2.2 Các kỹ thuật phát hiện tấn công, xâm nhập mạng 10

1.2.3 Hệ thống phát hiện tấn công, xâm nhập 12

1.3 Tóm tắt chương 1 18

CHƯƠNG 2: PHÂN TÍCH SÂU GÓI TIN DỰA TRÊN N-GRAM VÀ ỨNG DỤNG TRONG PHÁT HIỆN XÂM NHẬP MẠNG 19

2.1 Tổng quan về phân tích sâu gói tin 19

2.1.1 Khái quát về phân tích sâu gói tin 19

2.1.2 Kiến trúc hệ thống phân tích sâu gói tin 20

2.1.3 Các kỹ thuật phân tích sâu gói tin 21

2.1.4 Ứng dụng của phân tích sâu gói tin 25

2.2 Mô hình phân tích sâu gói tin dựa trên n-gram 27

2.2.1 Giới thiệu mô hình 27

2.2.2 Thuật toán tính toán khoảng cách Mahalanobis 29

2.2.3 Huấn luyện mô hình sử dụng học máy 31

2.3 Kết chương 34

CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM 35

3.1 Cài đặt 35

3.2 Thử nghiệm 35

3.2.1 Tập dữ liệu thử nghiệm 35

3.2.2 Huấn luyện mô hình 35

3.2.3 Kiểm thử phát hiện 35

3.3 Nhận xét 36

3.4 Tóm tắt chương 3 36

KẾT LUẬN 37

TÀI LIỆU THAM KHẢO 38

DANH MỤC HÌNH VẼ

Hình 1.1 Kiến trúc hệ thống IDS 12

Hình 1.2 Mô hình hệ thống HIDS 15

Hình 1.3 Mô hình hệ thống NIDS 17

Hình 2.1 Kiến trúc cơ bản hệ thống DPI 21

Hình 2.2 Mô hình phân tích sâu gói tin dựa trên đối sánh mẫu 23

Hình 3.1 34

Hình 3.3 34

Hình 3.4 34

Hình 3.5 34

Hình 3.6 34

Hình 3.7 34

LỜI NÓI ĐẦU

Phát hiện tấn công, xâm nhập trái phép vào các hệ thống máy tính và mạngthường được sử dụng như lớp phòng vệ thứ 2 trong mô hình “Phòng vệ nhiều lớp cóchiều sâu” trong việc đảm bảo an toàn cho các hệ thống máy tính và mạng Nhiều kỹthuật đã được nghiên cứu và triển khai trong hiện tấn công, xâm nhập mạng, như pháthiện dựa trên phân tích lưu lượng mạng, phát hiện dựa trên phân tích header gói tin vàphát hiện dựa trên phân tích sâu gói tin (Deep Packet Inspection) Kỹ thuật phát hiệndựa trên phân tích sâu gói tin có nhiều ưu điểm, đặc biệt trong phát hiện sự lây lan củacác phần mềm độc hại, như sâu mạng Do vậy, việc tiếp tục nghiên cứu và triển khai

mô hình phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin là cần thiết

Vì vậy em chọn đề tài “Phát hiện xâm nhập mạng dựa trên phân tích sâu gói tin” Trên cơ sở phân tích các gói tin TCP/IP truyền trên mạng, các dạng tấn công,

xâm nhập mạng., đồ án này đã được xây dựng với những nội dung chính như sau:

Chương 1: Tổng quan phát hiện, xâm nhập mạng

Chương 2: Phân tích sâu gói tin dựa trên n-gram và ứng dụng trong phát hiệnxâm nhập mạng

Chương 3: Cài đặt và thử nghiệm

Mặc dù em đã nỗ lực hoàn thành đề tài này nhưng do còn những hạn chế vềthời gian và hiểu biết của bản thân nên không tránh khỏi những thiếu sót Vì vậy, emmong nhận được sự góp ý của các thầy cô và các bạn để phục vụ thêm cho công táchọc tập và nghiên cứu của mình trong tương lai

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG

Chương 1 trình bày một số khái niệm tổng quan, các biện pháp phòng chống vàcác kỹ thuật phát hiện xâm nhập mạng

1.1 Khái quát về tấn công mạng và các biện pháp phòng chống

1.1.1 Khái quát về tấn công

Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sựphát triển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự phát triển củacác trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiệních cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cánhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch

vụ công Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công tynào có hệ thống mạng dù lớn hay nhỏ Tuy nhiên, trong sự phát triển mạnh mẽ củacác trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn,

an ninh thông tin cũng trở thành một trong những thách thức lớn

1.1.1.1 An toàn thông tin

- An toàn thông tin là một nhu cầu rất quan trọng đối với các cá nhân cũng nhưcác tổ chức xã hội và các quốc gia trên thế giới

- An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệthông tin được lưu giữ và truyền trên mạng

- Liên quan đến các kiến thức về khoa học mật mã, công nghệ mạng, các ứngdụng trên mạng

1.1.1.2 Đe dọa an ninh

- Phá hoại thông tin và nguồn tài nguyên khác

- Sửa đổi hoặc làm sai lạc thông tin

- Đánh cắp, xóa bỏ hoặc làm mất thông tin và các nguồn tài nguyên khác

- Làm lộ thông tin

- Ngắt dịch vụ

Tấn công hay đột nhập vào một hệ thống thông tin hoặc một hệ thống mạng là sự

vi phạm chính sách an toàn, bảo mật của hệ thống đó Các loại tấn công được phânthành hai loại như sau:

 Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm nhập vào hệthống mà không cần đến sự đồng ý của tài nguyên CNTT)

 Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tài nguyênCNTT)

Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn công đượcchia thành:

 Bên trong, những tấn công này đến từ chính các nhân viên của công ty, đối táclàm ăn hoặc khách hàng

 Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet

1.1.1.3 Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng

- Quét do thám hệ thống: quét Ping, quét TCP, quét UDP, quét hệ điều hành, quéttìm kiếm accout thâm nhập

- Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mậtkhẩu, khai thác từ xa các lỗi DoS (Denial of Service), tràn bộ đệm, khai thác quan hệ

uỷ quyền

- Cài đặt cửa sau (backdoor) và truy cập từ xa

- Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp

- Tấn công với lỗi RPC (Remote Procedure Call - Gọi thủ tục từ xa)

1.1.1.4 Nguy cơ tấn công mạng

- Xâm nhập vào mạng từ bên ngoài Internet

- Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN

- Các thiết bị mạng, SNMP, RIP

- Phát hiện, đánh lừa, và xuyên qua firewall

- Truy cập uỷ nhiệm ngoài không được chứng thực

- Tấn công mạng bằng worm

- Tấn công bằng spam.

1.1.1.5 Nguy cơ tấn công phần mềm máy chủ dịch vụ

- Tấn công DNS (Domain Name Service)

- Tấn công Web server

- Tấn công SMTP (Simple Mail Transfer Protocol) send mail

- Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol)

- Tấn công Database server

- Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood,

1.1.1.6 Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử

- Đánh cắp thông tin bằng các chương trình spy, virus

- Giả mạo thông tin trong thư tín và giao dịch

- Nghe lén thông tin

- Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection

- Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng

1.1.1.7 Nguy cơ mất an toàn thông tin trên mạng WLAN

- Quét dò sóng mạng, tấn công xâm nhập mạng

- Bẻ khoá WEP (Giao thức an toàn của mạng không dây)

- Giả mạo điểm truy cập không dây WAP

- Tấn công từ chối dịch vụ

1.1.1.8 Vấn đề trên mạng di động

- Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS

- Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động

1.1.2 Các dạng tấn công điển hình

1.1.2.1 Tấn công do thám

Kẻ tấn công sử dụng các công cụ phần mềm có chức năng scanner mạng và cốgắng tìm kiếm, phát hiện lỗ hổng hệ thống máy tính mục tiêu

- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP.

- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng, nhậndạng các dịch vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấncông

- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng kýhosting, địa chỉ IP, hệ thống tên miền Tìm và thu thập các điểm yếu dễ bị tấn công của

- Kiểu tấn công man_in_the_middle_attack: đó là kiểu tấn công thông qua phântích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến Sửa đổi, thaynội dung dữ liệu trên đường truyền

- Tấn công thông qua kết nối:

- Tấn công kiểu SYN flood

- Kiểu tấn công Land Attack

- Kiểu tấn công UDP flood

- Tấn công sử dụng băng thông

- Tấn công sử dụng các nguồn tài nguyên khác

- Tấn công kiểu Smurf Attack

-Tấn công kiểu Tear Drop:

1.1.2.4 Kiểu tấn công IP Spoofing - GIẢ MẠO ĐỊA CHỈ IP

Kẻ tấn công ở trong hoặc ngoài mạng đóng vai như một máy tính tin cậy để traođổi thông tin

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năngdẫn đường trực tiếp Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạngbên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc mộtmáy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà cácgói tin IP phải gửi đi

1.1.2.5 Tấn công dựa trên VIRUS, TROJAN HORSE, WORM, MÃ ĐỘC HẠI

Đây là phương pháp các hacker dùng các đoạn mã có chứa Virus, trojan horse,worm, mã độc hại để lấy cắp thông tin phục vụ mục đích của mình

1.1.3 Các biện pháp phòng chống

- Để đảm bảo an ninh đầu cuối, ta cần xét toàn bộ môi trường an ninh bao gồmtoàn bộ môi trường truyền thông, từ đầu cuối đến đầu cuối 5 mục tiêu quan trọng đểtạo lập môi trường an ninh:

a Nhận thực: Nhận thực là quá trình kiểm tra sự hợp lệ của các đối tượng tham

gia thông tin Đối với các mạng vô tuyến quá trình này thường được thực hiện tại 2lớp: lớp mạng và lớp ứng dụng Mạng đòi hỏi người sử dụng phải được nhận thựctrước khi được phép truy nhập mạng Cách nhận thực đơn giản nhất (kém an ninh

nhất) là kết hợp tên người sử dụng và mật khẩu Phương pháp tiên tiến hơn là sử dụngchứng nhận số hay các chữ ký điện tử.

b Toàn vẹn số liệu: là đảm bảo rằng số liệu truyền không bị thay đổi hay bị phá

hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu Điều này có thể thực hiện bằngkiểm tra mật mã hay MAC (Message Authentication Code: mã nhận thực bản tin).Thông tin này được cài vào bản tin bằng cách sử dụng 1 giải thuật cho bản tin Phíathu tính toán MAC và so sánh MAC trong bản tin Nếu đúng-> toàn vẹn, nếu sai-> loại

bỏ bản tin

c Bảo mật: là một nét rất quan trọng trong an ninh và vì thế thường được nói

đến nhiều nhất Mục đích của bảo mật là để đảm bảo tính riêng tư của số liệu chống lại

sự nghe hoặc đọc trộm số liệu từ những người không được phép Cách phổ biến nhất

để ngăn ngừa sự xâm phạm là mật mã hóa số liệu (mã hóa bản tin-> dạng không thểđọc được đối vs máy thu nào trừ máy thu chủ định)

d Trao quyền: là cơ chế để kiểm tra rằng người sử dụng được quyền truy nhập

một dịch vụ cụ thể và quyết định mức độ truy nhập của người sử dụng: người sử dụngđược quyền thực hiện một số hành động Nó thường liên hệ chặt chẽ với nhận thực.Access List Control (ALC) thường được sử dụng cho quá trình quyết định người sửdụng được làm gì

e Cấm từ chối: là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch

mà chúng đã tham gia không được từ chối tham gia giao dịch Nó bao gồm nhận dạngcác bên sao cho các bên này sau đó không thể từ chối tham gia các giao dịch Thựcchất, điều này có nghĩa là phía phát chứng minh được đã phát bản tin và phía thu đãthu được bản tin Để thực hiện điều này mỗi giao dịch phải được ký bằng 1 chữ kýđiện tử và phía thứ 3 tin cậy kiểm tra, đánh đấu thời gian

f Chống phát lại: không cho phép kẻ phá hoại chặn bản tin phát từ A đến B và

phát lại bản tin này nhiều lần làm quá tải B dẫn đến B từ chối dịch vụ (Deny ofService)

- An ninh thường được sử dụng tại nhiều lớp, mỗi lớp phải xử lý các khía cạnhkhác nhau của an ninh, đảm bảo nhiều cơ chế bảo vệ sao cho khi 1 cơ chế bị phá vỡ thìtổng thể vẫn được an toàn

1.2 Phát hiện tấn công, xâm nhập mạng

1.2.1 Khái quát về tấn công, xâm nhập mạng

Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi không bình thươngnào của hệ thống Điều này có thể là cách hữu dụng trong việc phát hiện các tấn côngthực Chúng ta hãy xem xét thêm về vấn các triệu chứng để có thể lần theo dấu vết củanhững kẻ xâm phạm

1.2.1.1 Sử dụng các lỗ hổng đã được biết đến

Trong hầu hết các trường hợp, việc cố gắng lợi dụng các lỗi trong hệ thống bảomật của một tổ chức nào đó có thể bị coi như hành vi tấn công, đây cũng là triệu chứngchung nhất cho một sự xâm phạm Mặc dù vậy bản thân các tổ chức có thể phải có cácbiện pháp chống lại kẻ tấn công bằng cách sử dụng các công cụ hỗ trợ trong việc bảo

vệ mạng –công cụ đó được gọi là bộ quét tình trạng file và bảo mật Chúng hoạt độngnội bộ hoặc từ xa, tuy nhiên chúng cũng thường bị những kẻ xâm nhập nghiên cứu rất

 Sự phát hiện của bộ quét Công cụ kiểm tra tính toàn vẹn file hoạt động theomột cách có hệ thống để có thể sử dụng các kỹ thuật mô hình hóa và các công cụđặc biệt cho mục đích phát hiện, ví dụ: phần mềm anti-SATAN

 Một sự tương quan giữa việc quét và sử dụng là rất cần thiết – việc quét các lỗhổng có thể cần phải sâu hơn sử dụng một tính năng dịch vụ, điều này nghĩa là nó

có thể báo trước được những tấn công có thể xuất hiện trong tương lai

1.2.1.2 Hoạt động mạng khác thường, có tính chất định kỳ

Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai thác các ứngdụng và tiến hành nhiều phương pháp thử Các hoạt động xâm phạm thường khác vớihoạt động của người dùng đang làm việc với hệ thống Bất kỳ một công cụ kiểm trathâm nhập đều có thể phân biệt các hoạt động khả nghi sau một ngưỡng Nếu vượt quámột ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và công bố cho

bạn biết Đây là kỹ thuật thụ động cho phép phát hiện kẻ xâm nhập mà không cần phảitìm một chứng cứ rõ ràng mà chỉ cần qua việc kiểm tra định lượng

Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập được điều khiển từ

cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều đặn và được xem xét theo các khíacạnh dưới đây:

 Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt động hợp lệ và nghingờ (để kích hoạt các báo cảnh) Các hoạt động mạng có thể được nhận dạng bằng

sử dụng nhiều giá trị tham số được lấy từ (ví dụ) profile người dùng hoặc trạngthái Session

 Thời gian giữa những lần lặp là một tham số để xác định thời gian trôi qua giữacác sự kiện diễn ra liền kề nhau, ví dụ, một hoạt động bị nghi ngờ nếu xuất hiệntrong khoảng 2 phút có đến 3 lần đăng nhập không thành công

 Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công Một kẻ tấn công cóthể có các hành động trung tính (hầu như xảy ra trong giai đoạn thăm dò) và điều

đó có thể làm sai lệnh các thiết bị phòng chống IDS

 Các dịch vụ và giao thức mạng được minh chứng theo những cách nghiêm ngặt

và sử dụng các công cụ phần mềm nhận dạng Bất kỳ một sự không tương thíchnào với các mẫu đã được đưa ra (gồm có các lỗi con người như việc xuất hiện lỗi

in trong gói mạng) có thể là thông tin có giá trị để phát hiện ra dịch vụ đang bịnhắm đến bởi kẻ xâm nhập

 Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữ chậm mail, thìchuỗi bản ghi của nó sẽ thể hiện thói quen thông thường hoặc có thể đoán trước Mặc dù vậy, nếu bản ghi chỉ thị rằng một quá trình đặc biệt nào đó đã cung cấpcác lệnh không hợp lệ thì đây vẫn có thể là một triệu chứng của một sự kiện bìnhthường hoặc một sự giả mạo

1.2.1.3 Mâu thuẫn trực tiếp trong lưu lượng

Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là một trong nhữngtriệu chứng tấn công tiềm ẩn Xem xét dữ liệu nguồn và địa điểm (trong nước hoặcnước ngoài) có thể nhận dạng trực tiếp về một gói tin

Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên Mặc dù vậy, yêucầu cho dịch vụ trong mạng nội bộ lại là một session đang tới và một quá trình kích

hoạt một Web dựa vào dịch vụ từ một mạng nội bộ là một session gửi đi Sự mâuthuẫn trực tiếp dưới đây có thể được xem như các dấu hiệu của một vụ tấn công:

 Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng nội bộ của chúng –yêu cầu dịch vụ đang tới từ bên ngoài, trong trường hợp đó các gói có địa chỉnguồn bên trong của chúng Tình huống này có thể là dấu hiệu của một tấn cônggiả mạo IP bên ngoài Các vấn đề như vậy có thể được giải quyết tại các bộ địnhtuyến, chúng có thể so sánh địa chủ nguồn với vị trí đích Trong thực tế, số ít bộđịnh tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành cho tường lửa

 Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến mạng ở ngoài với mộtđịa chỉ đích của nó – trường hợp ngược lại Kẻ xâm nhập thực hiện từ bên ngoài

1.2.1.4 Các thuộc tính không mong muốn

Các trường hợp thường xảy ra nhất là ở những nơi phải xử lý một số lượng lớn cácthuộc tính của gói hoặc các yêu cầu cụ thể đối với dịch vụ Chúng ta hoàn toàn có thểđịnh nghĩa mẫu thuộc tính mong đợi Nếu các thuộc tính gặp phải không phù hợp vớimẫu này thì nó có thể là một hành động xâm phạm

 Các thuộc tính thời gian và lịch biểu – trong môi trường nào đó, hành vi mạng

cụ thể có thể xảy ra một cách thường xuyên tại một thời điểm nào đó trong ngày.Nếu hành vi thông thường này bị phá vỡ thì trường hợp này cần phải được kiểmtra Ví dụ, chúng tôi sử dụng một công ty, nơi mà việc vận chuyển được tiến hànhvào chiều thứ sáu hàng tuânà Bằng cách đó, dữ liệu số trao đổi trong các phiêngiao dịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xem như cáchành động bình thường Tuy nhiên nếu thứ sáu là ngày nghỉ mà vẫn xuất hiện việctruyền tải dữ liệu thì vấn đề này cần phải kiểm tra

 Thuộc tính tài nguyên hệ thống Các xâm phạm nào đó thường liên làm ảnhhưởng xấu cho một số các thuộc tính hệ thống Việc bẻ khóa bằng cách thử lặp đilặp lại password nhiều lần thường liên quan đến sự sử dụng phần lớn hiệu suấtCPU giống như các tấn công DoS với các dịch vụ hệ thống Sử dụng nhiều tàinguyên hệ thống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ vàkết nối mạng) đặc biệt là những thời điểm không bìng thường rất có thể là một dấuhiệu.

 Với các gói có các thiết lập TCP phúc đáp không mong đợi Nếu có một tậpACK-flag thông qua một gói và không có SYN-packet (gói đồng bộ) trước đượcgửi thì cũng có thể là một trường hợp tấn công (hoặc quét dịch vụ) Tình huốngnhư vậy có thể cũng là trường hợp bị hỏng gói, sự cố mạng đối với các phần mềmchứ không nhất thiết là một tấn công

 Dịch vụ trộn lẫn các thuộc tính Thông thường chúng ta có thể định nghĩa mộttập hợp chuẩn các dịch vụ vào ra để cung cấp cho một người dùng cụ thể Ví dụ:nếu người dùng đang trong chuyến đi công tác của họ, anh ta muốn sử dụng mail

và các tùy chọn truyền tải file Bất kỳ những cố gắng nào liên quan đến tài khoảncủa anh ta thông qua Telnet để truy cập vào các cổng đều có thể là những tấncông

Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ, cụ thể là ngườidùng và các profile dịch vụ giúp đỡ trong việc phân biệt các thuộc tính điển hình vàcác thuộc tính không mong muốn Một file dấu hiệu giữ một số các dịch vụ chung củamột người dùng cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính Các thông tinnày bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vị trí của máy trạmlàm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng tài nguyên, khoảng thời giansession điển hình bởi các dịch vụ đơn lẻ

1.2.2 Các kỹ thuật phát hiện tấn công, xâm nhập mạng

1.2.2.1 Các nguyên lý phát hiện tấn công

+ Phát hiện bất thường

Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng

về hoạt động bình thường So sánh các sự kiện quan sát được với giá trị ngưỡng bìnhthường tương ứng để phát hiện xâm nhập

+ Phát hiện dấu hiệu tấn công

Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấuhiệu tấn công dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiệnxâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao)

- Tìm kiếm mẫu

- Phân tích chuyển đổi trạng thái

- Các thuật toán di truyền

- Tiếp cận bằng hệ miễn dịch: dựa trên cơ sở dữ liệu sẵn có, phát triển chống tấncông

1.2.2.2 Các kỹ thuật phát hiện tấn công, xâm nhập mạng

Ngày nay có nhiều các kỹ thuật xử lý dữ liệu được áp dụng trong các hệ thống phát hiện đột nhập Các kỹ thuật này có thể được sử dụng đơn lẻ hoặc kết hợp với nhau một cách linh hoạt nhằm đạt được kết quả tối ưu nhất Trong phần này đồ án sẽ giới thiệu một số kỹ thuật phổ biến trong các hệ thống phát hiện đột nhập ngày nay:

- Kỹ thuật thống kê là kỹ thuật sử dụng các công thức toán học và xác suất thống kê nhằm tìm ra quy luật của các sự kiện xảy ra trong hệ thống và mạng Kỹ thuật này được sử dụng phổ biến từ khi IDS mới bắt đầu phát triển

- Kỹ thuật học máy là kỹ thuật cho phép hệ thống có thể “học” một cách tự động từ dữ liệu ban đầu nhằm giải quyết một vấn đề nhất định Trong hệ thống phát hiện đột nhập,học máy giúp đưa ra những dự đoán tình huống để đưa ra quyết định Độ chính xác của hệ thống phụ thuộc rất lớn vào thuật toán học máy và dữ liệu huấn luyện ban đầu

- Kỹ thuật mạng nơ-ron là xây dựng mô hình tính toán mô phỏng mạng nơ-ron sinh học Kỹ thuật này dùng để mô hình hóa các mối quan hệ phức tạp giữa dữ liệu đầu vào

và kết quả đầu ra

1.2.3 Hệ thống phát hiện tấn công, xâm nhập

1.2.3.1 Khái niệm

IDS (Intrusion Detection Systems) là hệ thống có thể phát hiện và cảnh báo đốivới bất kỳ sự xâm nhập bất hợp pháp nào từ bên ngoài vào một hệ thống Khác vớitường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi cáchoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo

IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ nhữngngười trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trêncác dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virusdựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưuthông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra cácdấu hiệu khác thường

Kiến trúc của hệ thống phát hiện đột nhập thường có 3 thành phần chính như mô

tả trong hình 1.1

Hình 1.1 Kiến trúc hệ thống IDS

- Thành phần thu thập thông tin: những module này tạo nên thành phần thu thập

dữ liệu nguyên thuỷ của một IDS Thành phần này sẽ thu thập tất cả các thông tin liênquan như: gói tin (packet) truyền trong mạng, lưu thông mạng, các log file hay cáchành vi của hệ thống, thông tin của hệ thống (CPU, bộ nhớ, …) Thông thường các góitin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng cardmạng của IDS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đềuđược sao lưu, xử lý, phân tích đến từng trường thông tin Bộ phận thu thập gói tin sẽđọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụgì Các thông tin này được chuyển đến thành phần phát hiện tấn công

C nh báo ảnh báo

Phân tích thông tin Thu th p ập

thông tin

- Thành phần phát hiện: Thành phần này chứa bộ cảm biến đóng vai trò quyếtđịnh của IDS Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thôngtin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vìvậy có thể phát hiện được các hành động nghi ngờ Thông tin sẽ được xử lý về dạngchuẩn, sau đó hệ thống sẽ quyết định trạng thái hiện tại có phải là tấn công hay không.Giám sát các thành phần, là bộ phận xử lí chính của IDS, nhận các sự kiện từ các bộphận thu thập thông tin Các sự kiện này được tập hợp lại và sinh ra các cảnh báo

- Thành phần cảnh báo: bộ giải quyết nhận các báo cáo nghi ngờ từ các monitor,

và quyết định phản ứng thích hợp – log, thay đổi hành vi của các bộ phận cấp thấphơn, cấu hình lại biện pháp an ninh khác và thông báo cho người điều hành Từ kếtquả của giai đoạn trước, thành phần này sẽ quyết định hình thức phản hồi có thể là gửicảnh báo đến bộ phận ngăn chặn, thông báo tới admin hoặc ghi log file

Dưới đây là một số kỹ thuật ngǎn chặn

Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để

họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống cáctập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và

là nguồn thông tin giúp cho module phát hiện tấn công hoạt động

Ngăn chặn, thay đổi gói tin Khi một gói tin khớp với dấu hiệu tấn công thì IDS

sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho góitin trở nên không bình thường

1.2.3.2 Cơ chế hoạt động

- Phát hiện dựa trên sự bất thường: công cụ này thiết lập một hiện trạng các hoạtđộng bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khihai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

- Phát hiện thông qua giao thức (Protocol):Tương tự như việc phát hiện dựa trêndấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức đượcxác định cụ thể trong gói tin

- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước Khi bắt đầuthiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về

cách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống

sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường củamạng bằng cách so sánh với hồ sơ đã thiết lập

IDS có thể hoạt động một cách liên tục hoặc có chu kỳ (tương ứng là IDS thờigian thực và IDS khoảng thời gian), do đó chúng sử dụng hai phương pháp phát hiệnxâm nhập khác nhau Phân tích kiểm định là phương pháp phổ biến được sử dụng bởicác hệ điều hành một cách định kỳ Ngược lại, IDS có thể triển khai trong môi trườngthời gian thực được thiết kế cho việc kiểm tra online và phân tích các sự kiện hệ thống

Hình 1.2 Mô hình hệ thống HIDS

HIDS quan sát lưu lượng host của chúng và có thể dễ dàng phát hiện các tấncông local-to-local hoặc tấn công local-to-root, bời chúng có một khái niệm rõ ràng vềthông tin nội bộ phù hợp, ví dụ: chúng có thể khai thác IDS người dùng Cũng vậy,công cụ phát hiện dị thường có độ bao phủ tốt hơn đối với các vấn đề bên trong vì khảnăng phát hiện của chúng được dựa vào mẫu hành vi thông thường của người dùng

+ Lợi thế của HIDS

- Có khả năng xác đinh user liên quan tới một sự kiện (event)

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDSkhông có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.+ Hạn chế của HDIS

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công

- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).

- HIDS cần tài nguyên trên host để hoạt động

b NIDS (Network-IDS):

+ Khái niệm

NIDS (Network-IDS): sẽ kiểm soát tất cả gói tin trên từng phân mạng, đánh dấunhững gói tin bị nghi ngờ Là hệ thống phát hiện đột nhập phân tích lưu lượng mạngđược lấy từ các hub, switch đã được cấu hình cổng theo dõi hoặc các nút mạng Môhình hệ thống NIDS có thể được tham khảo trong hình sau NIDS theo dõi lưu lượngtruy cập đến và đi của tất cả các thiết bị trong mạng NIDS không thể phân tích các dữliệu mã hóa Các thông tin có được từ việc giám sát hoạt động mạng như: địa chỉ IPnguồn – đích, cổng nguồn –đích của các giao dịch TCP/UDP, các gói tin ICMP vớithông điệp không tìm thấy trạm đích, các máy chủ và dịch vụ đang được sử dụng trongmạng … Từ đó hệ thống phát hiện tấn công đột nhập có thể đưa ra một số cảnh báo, vídụ: máy trạm trong mạng có địa chỉ không được xác thực, máy trạm cố gắng sử dụngdịch vụ không được xác thực, máy trạm cố gắng kết nối tới một máy trạm cụ thể kháctrong hoặc ngoài mạng … Do sự phát hiện xâm nhập sử dụng dữ liệu thống kê trêntrọng tải mạng, nên một NIDS đã tuyên bố có thể được phân biệt rõ ràng, ví dụ nhưcác bộ kiểm tra lưu lượng (Novell Analyzer, Microsoft Network Monitor) Chúng thuthập tất cả các gói chúng thấy trên đoạn mạng mà không cần phân tích chúng và chỉtập trung vào tạo các thống kê lưu lượng mạng

+ NIDS ngoài luồng (out-stream): không can thiệp trực tiếp vào luồng dữ liệu màchỉ sao chép phần dữ liệu của luồng và phân tích, phát hiện các dấu hiệu của sự xâmnhập, tấn công

+ NIDS trong luồng (in-stream): nằm trước bức tường lửa, luồng dữ liệu phải điqua NIDS trước, có thêm chức nǎng chặn lưu thông

Hình 1.3 Mô hình hệ thống NIDS

+ Lợi thế của NIDS

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với hệ điều hành

+ Hạn chế của NIDS

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion

mà NIDS báo là có intrusion

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo độngđược phát ra, hệ thống có thể đã bị tổn hại

- Hạn chế về giới hạn băng thông Hacker có thể tấn công bằng cách chia nhỏ

dữ liệu ra để xâm nhập vào hệ thống

- Không cho biết việc attack có thành công hay không

1.3 Tóm tắt chương 1

Chương 1 đã giới thiệu tổng quan về các vấn đề an ninh thông tin, mối đedọa từ các cuộc tấn công vào hệ thống máy tính và mạng Với sự phát triển ngày càngphức tạp, nguy hiểm của những mối đe dọa, vấn đề đảm bảo an toàn thông tin ngàycàng trở nên cấp thiết Hệ thống phát hiện đột nhập đã và đang trở thành một thànhphần quan trọng và không thể thiếu của mỗi hệ thống máy tính

Trong chương 2, đồ án trình bày các kỹ thuật phân tích sâu gói tin và ứng dụngtrong phát hiện đột nhập Đặc biệt, đồ án đi sâu nghiên cứu kỹ thuật phân tích sâu cácgói in dựa trên n-gram, kết hợp với thống kê và học máy nhằm nâng cao hiệu quả pháthiện và giảm cảnh báo sai