Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới thời đại công nghệ số. Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam. Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn. Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu. Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa, và các mạng riêng ảo . Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu những tấn công bất hợp pháp. Chính vì vậy em chọn đề tài này : “ XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC”
Trang 1ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
NGÀNH: TRUYỀN THÔNG VÀ MẠNG MÁY TÍNH
ĐỀ TÀI : XÂY DỰNG HỆ THỐNG HIDS SỬ DỤNG OSSEC
GIẢNG VIÊN HƯỚNG DẪN : THS LƯƠNG HOÀNG ANH SINH VIÊN THỰC HIỆN : TRẦN THỊ DUNG
Trang 2LỜI MỞ ĐẦU
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới - thời đại công nghệ số Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch
vụ web Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức
mã hóa, và các mạng riêng ảo
Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra Những thông tin thu thập được sẽ giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu những tấn công bất hợp pháp
OSSEC”
LỜI CAM ĐOAN
Trang 3Em xin cam đoạn:
1 Những nội dung trong khóa luận này là do em thực hiện dưới sự hướngdẫn trực tiếp của thầy giáo Ths Lương Hoàng Anh
2 Mọi tham khảo dùng trong khóa luận đều được trích dẫn rõ ràng và trungthực tên tác giả, tên công trình, thời gian, địa điểm công bố
3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, emxin chịu hoàn toàn trách nhiệm
LỜI CẢM ƠNLời đầu tiên em xin gửi lời tri ân và biết ơn sâu sắc đến Thầy Lương Hoàng Anh, người hướng dẫn đồ án tốt nghiệp đã tận tình chỉ bảo, động viên, khích lệ em
trong suốt quá trình nghiên cứu và thực hiện đề tài
Em xin cảm ơn các thầy cô Khoa Công nghệ thông tin, trường Đại học Công nghệ Giao Thông Vận Tải, đặc biệt các thầy cô trong bộ môn Truyền thông và mạng
máy tính đã nhiệt tình giảng dạy và tạo mọi điều kiện giúp đỡ em trong quá trình họctập và nghiên cứu
Cuối cùng em xin chân thành cám ơn những người thân trong gia đình cùng toànthể bạn bè luôn giúp đỡ động viên nhóm những lúc gặp phải khó khăn trong quá trìnhlàm đồ án
Xin chân thành cảm ơn!
Trang 4MỤC LỤC
LỜI MỞ ĐẦU
LỜI CAM ĐOAN 3
LỜI CẢM ƠN 4
MỤC LỤC 5
DANH MỤC HÌNH ẢNH 8
DANH SÁCH TỪ VIẾT TẮT 9
CHƯƠNG 1 : TỔNG QUAN 11
1.1 Lý do chọn đề tài 11
1.2 Mục tiêu của đề tài 11
1.3 Giới hạn và phạm vi của đề tài 11
1.4 Kết quả dự kiến đạt được 11
1.5 Công cụ sử dụng 12
CHƯƠNG 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 13
2.1 Những mối đe dọa về bảo mật 13
2.1.1.Mối đe dọa không có cấu trúc 13
2.1.2.Mối đe dọa có cấu trúc (Structured Threat) 13
2.1.3 Mối đe dọa từ bên ngoài (External Threat) 14
2.1.4 Mối đe dọa từ bên trong (Internal Threat) 14
2.2 Các phương pháp xâm nhập hệ thống 14
2.2.1 Phương thức đánh cắp thông tin bằng Packet Sniffers 14
2.2.2 Phương thức tấn công mật khẩu Password Attack 15
2.2.3 Phương thức tấn công bằng Mail Relay 15
2.2.4 Phương thức tấn công hệ thống DNS 15
2.2.5 Phương thức tấn công Man-in-the-middle attack 15
2.2.6 Port Scan và Ping Sweep 16
Trang 52.2.7 Phương thức tấn công lớp ứng dụng 16
2.2.8 Phương thức tấn công bằng Virus và Trojan Horse 16
2.3 Tổng quan về hệ thống phát hiện xâm nhập IDS 17
2.3.1 Giới thiệu về IDS 17
2.3.2 Định nghĩa về IDS 17
2.3.3 Lợi ích của IDS 19
2.3.4 Phân biệt những hệ thống không phải là IDS 19
2.3.5 Chức năng của IDS 20
2.3.6 Kiến trúc của hệ thống phát hiện xâm nhập IDS 21
2.3.7 Phân loại IDS 24
CHƯƠNG 3 TÌM HIỂU VỀ HIDS 29
3.1 Khái niệm HIDS(Host-Based IDS) 29
3.2 Cách thức hoạt động của Host-Based Intrusion Detection HIDS 29
3.2.1 Phát hiện chữ ký (Signature Detection) 30
3.2.2 Phát hiện phân tích trạng thái giao thức (Stateful Protocol Analysis Detection) 30
3.2.3 Giám sát Logfile (Monitoring logfile) 31
3.2.4 Giám sát tính toàn vẹn 32
3.3 Triển khai hệ thống HIDS 34
3.4 So sánh giữa HIDS và NIDS 36
3.5 Ưu điểm và hạn chế của HIDS 37
3.5.1 Ưu điểm 37
3.5.2 Hạn chế 38
CHƯƠNG 4 GIỚI THIỆU VỀ MÃ NGUỒN MỞ OSSEC 40
4.1 Khái niệm 40
4.2 Các tính năng nổi bật của OSSEC là: 40
4.3 Các thành phần của OSSEC 42
4.3.1 Server 42
4.3.2 Agent 43
4.4 Các luật trong OSSEC 43
4.4.1 Tổ chức các luật 43
Trang 64.4.2 Quy trình xử lý phân tích của OSSEC HIDS 47
4.5 Phương thức hoạt động của luật trong OSSEC 48
4.6 Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit 50
4.7 Phản ứng chủ động trong OSSEC 50
CHƯƠNG 5 MÔ PHỎNG HỆ THỐNG HIDS SỬ DỤNG OSSEC 52
5.1.Triển khai hệ thống 52
5.1.1.Triển khai cài đặt hệ thống 52
5.1.2 Triển khai cấu hình 52
5.2 Các chức năng chính của hệ quản lý luật 55
5.3.Ưu điểm và hạn chế của hệ thống 57
5.3.1 Ưu điểm 57
5.3.2 Hạn chế 57
KẾT QUẢ ĐẠT ĐƯỢC 58
DANH MỤC TÀI LIỆU THAM KHẢO 59
Trang 7DANH MỤC HÌNH ẢNH
Hình 2.1: Các vị trí đặt IDS trong mạng 19
Hình 2.2: Thành phần của IDS 22
Hình 2.3: Giải pháp kiến trúc đa nhân 23
Hình 2.4: Hoạt động của IDS 24
Hình 2.5: Mô hình Host Intrusion Detection System (HIDS) 25
Hình 2.6: Mô hình Network Intrusion Detection System (NIDS) 26
Hình 3.1: Mô hình kết hợp giữa HIDS và NIDS 34
Hình 3.2: Mô hình so sánh giữa HIDS và NIDS 36
Hình 4.1: Các thành phần hoạt động của OSSEC 41
Hình 2.4: Sơ đồ quá trình xử lý ruscale trong OSSEC 46
Hình 5.1: Trích xuất khóa từ OSSEC Server 52
Hình 5.2: Trích xuất khóa từ OSSEC server 53
Hình 5.3: Trích xuất khóa từ OSSEC server 54
Hình 5.4: Trích xuất khóa từ OSSEC server 54
Hình 5.5: Trích xuất khóa từ OSSEC server 55
Hình 5.6: Giao hiện của hệ thống quản lý 56
Trang 8DANH SÁCH TỪ VIẾT TẮT
IDS Intrusion Detection System
HIDS Host-based Intrusion Detection System
NIDS Network Intrusion Detection System
ICMP Internet Control Message Protocol
HTTPS Hypertext Transfer Protocol Secure
DHCP Dynamic Host Configuration Protocol
Trang 9HTML HyperText Markup Language
CHƯƠNG 1 : TỔNG QUAN1.1 Lý do chọn đề tài.
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong mội trường doanhnghiệp hiện nay Tin tặc và kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhậpvào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị Đã có nhiều phương phápphát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụngFirewall, VPN… trong đó có hệ thống phát hiện và ngăn chặn xâm nhập
Phát hiện xâm nhập là một trong những công nghệ và phướng thức dùng để pháthiện hành động khả nghi trên cà Host và mạng Các phương pháp phát hiện xâm nhậpbắt đầu xuất hiện những năm gần đây, sử dụng phương thức phát hiện xâm nhập , bạn
có thể thu thập, sử dụng thông tin từ những laoij tấn công đã biết để tìm ra và cảnh báomột ai đó đang cô gắng tấn công vào mạng hay máy cá nhân
Vì vậy,là sinh viên được trang bị những kiến thức của ngành hệ thống thông tinvới những kiến thức đã tiếp thu và vận dụng lý thuyết đó vào công việc thực tế nên em
đã chọn đề tài “Xây dựng hệ thống HIDS sử dụng OSSEC” để thực hiện đồ án tốtnghiệp của mình với mục đích xây dựng được hệ thống phát hiện và phòng chống xâmnhập trái phép nhằm đảm bảo an toàn hệ thống mạng cho doanh nghiệp và cá nhân
1.2 Mục tiêu của đề tài.
Xây dựng một hệ thống HIDS sử dụng mã nguồn mở Ossec để ngăn chặn xâm nhập
Trang 101.3 Giới hạn và phạm vi của đề tài.
- Tìm hiểu về hệ thống ngăn chặn và phát hiện xâm nhập.
- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà tin tặc thường sử dụng để tấn công
và mạng nội bộ
Ứng dụng Ossec vào việc xây dựng hệ thống phát hiện và chống xâm nhập ( Osseccung cấp khả năng phát hiện xâm nhập dựa trên máy chủ toàn diện trên nhiều nền tảngnhư : Linux, Solaris , AIX, HP-UX, BSD, Windown, Mac và VMware ESX
1.4 Kết quả dự kiến đạt được.
- Nắm được các kỹ thuật xâm nhập bất hợp pháp mà các tin tặc thường sử dụng để tấn
công
- Demo được quá trình xâm nhập và phòng chống xâm nhập.
- Xây dựng được hệ thống HIDS sử dụng mã nguồn mở OSSEC.
- Hoàn thành báo cáo chi tiết đồ án tốt nghiệp.
1.5 Công cụ sử dụng.
- Sử dụng phầm mềm OSSEC HIDS cài đặt trên Windown hoặc Ubutu 15.04
Trang 11CHƯƠNG 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS2.1 Những mối đe dọa về bảo mật.
2.1.1.Mối đe dọa không có cấu trúc.
Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thểtải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng có những ngườithích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ Hầuhết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn côngchỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) haynhững người có trình độ vừa phải Hầu hết các cuộc tấn công đó là vì sở thích cá nhân,nhưng củng có nhiều cuộc tấn công có ý đố xấu Những trường hợp đó có ảnh hưởngxấu đến hệ thống và hình ảnh của một công ty
Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nóvẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn Đôi khi chỉ cầnchạy một đoạn mã là có thể phá hủy chức năng mạng của một công ty Một SciptKiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệthống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóccho vùng rộng của hệ thống Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệmkhả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống
2.1.2.Mối đe dọa có cấu trúc (Structured Threat).
Structured Threat là các hành động cố ý, có động cơ và kỹ thuật cao Khôngnhư Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ Những
kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng cáckỹ thuật phức tạp nhằm xâm nhập vào mục tiêu
Động cơ của các cuộc tấn công này thì có rất nhiều Một số yếu tố thường thấy
có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các tổ chức tội phạm, các đốithủ cạnh tranh hay các tổ chức sắc tộc thuê chuyên gia để thực hiện các cuộc tấn côngdạng Structured Threat Các cuộc tấn công này thường có mục đích từ trước, như đểlấy được mã nguồn của đối thủ cạnh tranh Cho dù động cơ là gì, thì các cuộc tấn côngnhư vậy có thể gây hậu quả nghiêm trọng cho hệ thống Một cuộc tấn công StructuredThreat thành công có thể gây nên sự phá hủy cho toàn bộ hệ thống
Trang 122.1.3 Mối đe dọa từ bên ngoài (External Threat).
External Threat là các cuộc tấn công được tạo ra khi không có một quyền nàotrong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiệncác cuộc tấn công như vậy
Các hệ thống vành đai là tuyến bảo vệ đầu tiên chống lại External Threat Bằngcách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công nàyxuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏnhiều tiền và thời gian để ngăn ngừa
2.1.4 Mối đe dọa từ bên trong (Internal Threat).
Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn côngđược thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng củabạn Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trongmạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cậpmạng và dữ liệu bí mật của một công ty Hầu hết các công ty chỉ có các tường lửa ởđường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists)
và quyền truy cập Server để quy định cho sự bảo mật bên trong Quyền truy cập Serverthường bảo vệ tài nguyên trên Server nhưng không cung cấp bất kỳ sự bảo vệ nào chomạng Mối đe dọa ở bên trong thường được thực hiện bở các nhân viên bất bình, muốnquay mặt lại với công ty Khi vành đai của mạng được bảo mật, các phần tin cậy bêntrong có khuynh hướng nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua lớp bảo vệcứng cáp đó của mạng, mọi chuyên còn lại thường rất đơn giản
2.2 Các phương pháp xâm nhập hệ thống.
2.2.1 Phương thức đánh cắp thông tin bằng Packet Sniffers.
Đây là một chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyểntrên mạng Sniffer thường được dùng cho Troubleshooting Network hoặc để phân tíchTraffic Tuy nhiên, do một sô ứng dụng gởi dữ liệu qua mạng dưới dạng Clear Text(Telnet, FTP, SMTP, POP3,…) nên Sniffer cũng là một công cụ cho Hacker để bắt cácthông tin nhạy cảm như là username, password, và từ đó có thể truy xuất các thànhphần khác của mạng
Trang 132.2.2 Phương thức tấn công mật khẩu Password Attack.
Các Hacker tấn công Password bằng một số phương thức như: Brute-forceattack, chương trình Trojan Horse, IP Spoofing, và Packet Sniffer
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mãhóa Brute-force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ramật khẩu Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khảnăng để tìm ra là luôn luôn nếu không giới hạn thời gian Brute force chỉ được dùngkhi các phương pháp khác đều không có hiệu quả
2.2.3 Phương thức tấn công bằng Mail Relay.
Đây là phương pháp phổ biến hiện nay, Email server nếu cấu hình không chuẩnhoặc username và password của người sử dụng mail bị lộ thì Hacker có thể lợi dụngđiểm này để gửi mail gây ngập mạng, phá hoại hệ thống email khác Ngoài ra với hìnhthức gắn thêm các đoạn Script trong mai Hacker có thể gây ra cuộc tấn công Spamcùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc cáccuộc tấn công DOS vào một mục tiêu nào đó
2.2.4 Phương thức tấn công hệ thống DNS.
Hệ thống DNS thực chất là một tập hợp hệ thống phần cứng và các công cụphần mềm phục vụ cho nhiệm vụ phân giải tên miền
Ngoài các hệ thống phần cứng và các công cụ phần mềm chạy dưới dạng dịch
vụ thì cần có các giao thức DNS (Bao gồm định dạng gói tin, giao thức truyền, …) để
có thể tiến hành trao đổi thông tin giữa máy client với các máy chủ DNS và giữa cácmáy chủ DNS với nhau
Chính vì DNS hội tụ đầy đủ các yếu tố: Phần cứng, phần mềm và giao thức như
đã trình bày ở trên nên hệ thống DNS luôn luôn tiềm ẩn các lỗ hổng mà hacker có thể
sử dụng để khai thác và làm chủ hệ thống, từ đó gây ra các ảnh hưởng tới người dùng
2.2.5 Phương thức tấn công Man-in-the-middle attack.
Một trong những hình thức tấn công mạng thường thấy nhất được sử dụng đểchống lại những cá nhân và các tổ chức lớn chính là các tấn công Man-in-the-Middle(MITM) Kiểu tấn công này thì attacker như một kẻ nghe trộm MITM hoạt động bằngcách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng.Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách
Trang 14trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thôngqua host của kẻ tấn công Và kết quả là các host này không chỉ có thể thông dịch dữliệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểmsoát sâu hơn những nạn nhân của nó.
2.2.6 Port Scan và Ping Sweep.
Kỹ thuật này được tiến hành nhằm những mục đích như sau:
- Xác định những dịch vụ trong mạng.
- Xác định các host và thiết bị đang vận hành trong mạng.
- Xác định hệ điều hành trong hệ thống.
- Xác định tất cả các điểm yếu trong mạng.
Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host đangsống trong một môi trường Từ đó, hacker sử dụng công cụ port scans xoay vòng quatất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạy trên host đãtìm thấy bởi ping sweeps
2.2.7 Phương thức tấn công lớp ứng dụng.
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trongnhững cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm nhưsendmail, HTTP hay FTP
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng portcho qua bởi Firewall Ví dụ, các Hacker tấn công Web Server bằng cách sử dụng TCPport 80, Mail Server bằng port 25
2.2.8 Phương thức tấn công bằng Virus và Trojan Horse.
Các nguy hiểm chính cho các workstation và end user là các tấn công virus vàngựa thành Trojan (Trojan horse) Virus là một phần mềm có hại, được đính kèm vàomột chương trình thực thi khác để thực hiện một chức năng phá hại nào đó Trojanhorse thì hoạt động khác hơn
Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơngiản ở máy workstation Trong khi người dùng đang mãi mê chơi game, Trojan horse
sẽ gởi một bản copy đến tất cả các user trong address book Khi user khác nhận vàchơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trongaddress book của user đó
Trang 152.3 Tổng quan về hệ thống phát hiện xâm nhập IDS.
2.3.1 Giới thiệu về IDS.
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bàibáo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiêncứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra cácviệc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệthống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988trước khi được sử dụng tại máy tính của không lực Hoa Kỳ Cho đến tận năm 1996,các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS bắt đầu phát triểndựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997, IDS mới được biết đếnrộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS Một năm sau đó,Cissco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải phápIDS tên là Wheel
2.3.2 Định nghĩa về IDS.
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thốngphần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện sảy ra, giám sátlưu thông mạng, và cảnh báo các hoạt động khả thi cho người quản trị.[1]
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cáchhợp lí để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện những hoạtđộng xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhậpbằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và nhữngkhu vực khác khi phát ra những dấu hiệu xâm nhập
IDS cũng có thể phân biệt giữa tấn công từ bên trong hay tấn công từ bên ngoài.IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như phần mềmdiệt virus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên so sánh lưuthông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra cácdấu hiệu khác thường
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầusau:
- Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm
Trang 16dụng (hành động thông thường bị coi là bất thường được gọi là falsepositive).
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực, tức là hành động xâm nhập trái phépphải được phát hiện trước khi xảy ra tổn thương nghiêm trọng đến hệ thống
- Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại các
cuộc xâm nhập trái phép
- Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trạng
thái xấu nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệthống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với sốlượng host nhỏ Với sự phát triển và mạnh của mạng máy tính, hệ thống cóthể bị quá tải bởi sự tăng trưởng của số lượng sự kiện
Hình sau minh họa các vị trí thường cài đặt
2.3.3 Lợi ích của IDS.
Lợi thế của hệ thống phát hiện xâm nhập IDS là có thể phát hiện được nhữngkiểu tấn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai
do định nghĩa quá chung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầuhết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo từ những hành độngbình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệthống đều có ít khả năng giới hạn các cảnh báo nhầm
Sử dụng hệ thống IDS để nâng cao khả năng quan lý và bảo vệ mạng, lợi ích
mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấnHình 2.1: Các vị trí đặt IDS trong mạng
Trang 17công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm
ẩn dựa trên những phân tích và báo cáo được IDS cung cấp Từ đó, hệ thống IDS cóthể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môitrường mạng
2.3.4 Phân biệt những hệ thống không phải là IDS.
Theo một cách riêng biệt nào đó mà các thiết bị bảo mật dưới đây không phải làIDS:
- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề
tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thốngkiểm tra lưu lượng mạng
- Các công cụ đánh giá lỗ hỗng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật)
- Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã độc
nguy hiểm như virus, trojan horse, worm,… Mặc dù những tính năng mặcđịnh có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổngbảo mật hiệu quả
- Tường lửa (Firewall).
- Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,…
2.3.5 Chức năng của IDS.
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏinhững đe dọa với ciệc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi chocác nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừkhi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung nhữngđiểm yếu của hệ thống khác… IDS có được chấp nhận là một thành phần thêm vàocho mọi hệ thống an toàn hay không vẫn là một câu hỏi cho nhiều nhà quản trị hệthống Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được và đưa cóthể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS[2]:
- Bảo vệ tính toàn vẹn (Integrity) của dữ liệu, bảo đảm sự nhất quán của dữ
liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bấthợp pháp hoặc phá hoại cho dữ liệu
- Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Trang 18- Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy
nhập thông tin của người dùng hợp pháp
- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng được khai thác tài
nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp
- Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sữa chữa,…
Nói tóm lại có thể tóm tắt IDS như sau:
Chức năng quan trọng nhất là: giám sát - cảnh báo - bảo vệ:
Giám sát: lưu lượng mạng và các hoạt đọng khả nghi
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và quản trị viên
Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quảntrị để có những hành động thiết thực chống lại kẻ xâm nhập và pháhoại
Chức năng mở rộng:
Phân biệt: tấn công bên trong và tấn công từ bên ngoài
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặcnhờ vào sự so sánh thông lượng mạng hiện tại với baseline
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiểnnhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạngcũng như cách bố trí bảo vệ phòng thử của các nhà quản trị mạng
2.3.6 Kiến trúc của hệ thống phát hiện xâm nhập IDS.
a Thành phần của IDS
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thành phầnthu thập gói tin (Information Collection), thành phần phân tích gói tin (Detection) vàthành phần phản hồi (Respotion) Trong ba thành phần này, thành phần phân tích góitin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quan quyết định nên cầnđược phân tích để hiểu rõ hơn về kiến trúc của một hệ thống phát hiện xâm nhập
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu Bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độlọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một sốchính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thốnghoặc các gói mạng Số chính sách này cùng với thông tin chính sách có thể được lưutrong hệ thống được bảo vệ hoặc bên ngoài
Trang 19Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiệnđược các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiệncho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thôngthường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ cáctham số cấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biếncũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn(tạo ra từ nhiều hành động khác nhau)
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cảchúng truyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc mộttác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùngđược bảo vệ và phụ thuộc vào phương pháp được đưa ra Tạo phân tích bước đầu vàthậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đến máychủ phân tích trung tâm là một trong những thành phần quan trọng của IDS IDS cóthể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiệncác tấn công phân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động
và tính roaming của nó trong các vị trí vật lý Thêm vào đó, các tác nhân có thể đặcbiệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyếtđịnh khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân
tự trị cho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra một khíacạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân cóHình 2.2: Thành phần của IDS
Trang 20thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểmtra Tác nhân cókhả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Các
tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất
cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộthu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất Các
bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa làchúng có thể tương quan với thông tin phân tán Thêm vào đó một số bộ lọc có thểđược đưa ra để chọn lọc và thu thập dữ liệu
b Nguyên lý hoạt động
Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (Infotmation Source): kiểm tra tất cả các gói tin trên
mạng (Information Monitoring)
- Sự phân tích (Analysis): phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công (Intruction Detection)
- Xuất thông tin cảnh báo (Response): hành động cảnh báo cho sự tấn công
được phân tích ở trên nhờ bộ phận thông báo (Notification)
Trang 21Hình 2.4: Hoạt động của IDS.
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến cácquản trị viên hệ thống về sự việc này Bước tieeos theo được thực hiện bởi các quản trịhoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năngkhóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệthống, cơ sở hạ tầng hợp lệ,…) theo các chính sách bảo mật của các tổ chức Một IDS
là một thành phần nằm trong chính sách bảo mật
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trongnhững nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lýcác tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các cuộc tấncông trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống
Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ vấn đề xảy ra
do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các cuộc tấn công hoặc cácchữ ký thông qua email
2.3.7 Phân loại IDS.
a Host Intrusion Detection System (HIDS).
Những hệ thống HIDS được cài đặt như là những agent (tác nhân) trên mộthost, kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều
Trang 22máy tính trong hệ thống mạng HIDS thường được đặt trên các host xung yếu của tổchức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên.
Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả nhữnghoạt động hệ thống, như các file log những thông điệp báo lỗi trên hệ thống máy chủ
và những lưu lượng mạng thu thập được Trong khi những đầu dò của mạng có thểphát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác địnhxem cuộc tấn công có thành công hay không Thêm nữa là, hệ thống dựa trên máy chủ
có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công
Trang 23NIDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài đểgiám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt đượcthiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort).
NIDS sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dònày theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơlược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhận và phântích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấuhiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hìnhnhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensorđược đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đãđược định nghĩa để phát hiện đó là tấn công hay không
- Ưu điểm của NIDS.
Quản lý được một phân đoạn mạng (network segment)
Trong suốt với người sử dụng và kẻ tấn công
Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng
Tránh được việc bị tấn công dịch vụ đến một host cụ thể
Có khả năng xác định được lỗi ở tầng network
Độc lập với hệ điều hành
- Hạn chế của NIDS.
Trang 24 Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bấtthường mà IDS vẫn báo.
Không thể phân tích được các lưu lượng đã được mã hóa như SSH,IPSec, SSL,…
NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mớinhất để thực sự hoạt động hiệu quả
Không thể cho biết việc mạng bị tấn công có thành công hay không,
để người quản trị tiến hành bảo trì hệ thống
Một trong những hạn chế là giới hạn băng thông Những bộ thu thập
dữ liệu phải thu thập tất cả lưu lượng mạng, sắp xếp lại và phân tíchchúng Khi tốc độ mạng tăng lên thì khả năng của bộ thu thập thôngtin cũng vậy Một giải pháp là phải đảm bảo cho mạng được thiết kếchính xác
Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệthống IDS là phân mảnh dữ liệu gói tin Mỗi giao thức có một kích cỡ gói dữ liệu cóhạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu bịphân mảnh Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu Thứ tự sắp xếp khôngthành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợp lại chúng
Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnhchồng chéo Một bộ cảm biến không phát hiện được các hoạt động xâm nhập nếukhông sắp xếp gói tin lại một cách chính xác
CHƯƠNG 3 TÌM HIỂU VỀ HIDS.
3.1 Khái niệm HIDS(Host-Based IDS)
HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host).Hệthống phát hiện xâm nhập dựa trên máy chủ (HIDS) là hệ thống giám sát hệ thống máytính được cài đặt để phát hiện sự xâm nhập và / hoặc sử dụng sai, và phản hồi bằngcách đăng nhập hoạt động và thông báo cho cơ quan được chỉ định Một HIDS có thểđược coi là một tác nhân theo dõi và phân tích xem bất cứ điều gì hay bất cứ ai, dù lànội bộ hay bên ngoài, đã phá vỡ chính sách bảo mật của hệ thống.Điều làm nên sựkhác biệt của HIDS so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khácnhau như các máy chủ, máy trạm làm việc hoặc máy notebook Phương pháp này giúp
Trang 25các tổ chức linh động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng củanó.
HIDS được cài đặt như một agent trên một host cụ thể HIDS phân tích log của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các
vi phạm bảo mật và các chính sách đã được đặt ra Nếu thấy có vi phạm HIDS có thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và
có thể ngừng hành động lại trước khi nó xảy ra
3.2 Cách thức hoạt động của Host-Based Intrusion Detection HIDS.
Với các cuộc tấn công trong không gian mạng và kẻ tấn công có thể đánh cắpthông tin của một hệ thống khi bị chiếm quyền truy cập, việc bảo mật cho một công tyhay một tổ chức ngày càng được chú trọng Chúng ta biết rằng một bức tường lửakhông đủ và không phải là công cụ duy nhất mà chúng ta dựa vào vì sự an toàn Chúng
ta đã chuyển sang một giai đoạn mới mà chúng ta có thể thực hiện các bước để bảođảm cơ sở hạ tầng CNTT của mình khỏi phần mềm độc hại với giao diện đa lớp Phầnmềm phát hiện xâm nhập (IDS) là một ứng dụng giám sát mạng hoặc giám sát một hệthống cho hoạt động đáng ngờ và thường được ghép nối với tường lửa để tăng tính bảomật Một loại khác thuộc IDS là phần mềm phát hiện xâm nhập dựa trên máy chủ(HIDS) HIDS là một hệ thống rất đa dạng của IDS
Như tên của nó cho thấy, HIDS sẽ được cài đặt trong một hệ thống máy chủ duynhất để theo dõi và báo cáo về cấu hình và hoạt động ứng dụng của hệ thống Lớp bảo
vệ bổ sung này đảm bảo mọi thứ khi vượt qua tường lửa sẽ không khiến hệ thống dễ bịtổn thương HIDS có nhiều khía cạnh, chẳng hạn như phát hiện chữ ký (SignatureDetection), phát hiện sự bất thường (Anomaly Detection), phát hiện phân tích trạngthái giao thức (Stateful Protocol Analysis Detection), giám sát logfile (Monitoringlogfile) và giám sát tính toàn vẹn (Monitoring integrity) để bảo vệ hệ thống khỏi cácmối đe dọa nguy hiểm
3.2.1 Phát hiện chữ ký (Signature Detection).
Một trong những phương pháp khác mà HIDS sử dụng là phát hiện chữ ký Cònđược gọi là kết hợp mẫu hoặc phát hiện sử dụng sai chữ ký, nó được sử dụng để pháthiện các cuộc tấn công đã biết bằng các hành động cụ thể đã thực hiện Các hành động
cụ thể được gọi là chữ ký Phương pháp này phải được cập nhật cho kết quả tối ưu, vì
Trang 26nó tìm kiếm lưu lượng truy cập và hành vi phù hợp với chữ ký của các cuộc tấn công
đã biết Phát hiện chữ ký có tỷ lệ phát hiện sai là rất thấp cũng như tỷ lệ phát hiện đúngrất cao cho các cuộc tấn công đã biết
Phát hiện sự bất thường (Anomaly Detection).
Phương pháp thứ hai của HIDS được gọi là phát hiện bất thường Với phươngpháp này, chúng ta sẽ cần phải thiết lập một baseline của mô hình sử dụng thôngthường trong hệ thống của chúng ta Bằng cách làm như vậy, nếu bất cứ điều gì đi lệchcác tiêu chuẩn nó sẽ được gắn cờ và coi như là một sự xâm nhập Phát hiện bất thườngcũng có thể điều tra mẫu người dùng Ví dụ: nếu ai đó làm việc trong một bộ phận bắtđầu truy cập các tệp không liên quan đến họ, nó có thể cảnh báo các quản trị viên Pháthiện sự bất thường là rào cản cho phép chúng ta lưu lại những xâm nhập mới chưađược thực hiện với dạng chữ ký
Phát hiện sự bất thường có cơ hội giả mạo cao hơn, nhưng khi kết hợp với pháthiện chữ ký, có thể đem lại một sự bảo mật mạnh mẽ
3.2.2 Phát hiện phân tích trạng thái giao thức (Stateful Protocol Analysis
Detection).
Xác định sự lệch của trạng thái giao thức là phương thức trạng thái giao thứccủa HIDS Nó khác với việc phát hiện bất thường vì nó sử dụng cấu hình chung đãđược xác định trước dựa trên những gì công ty hay một tổ chức đã phát triển như cácđịnh nghĩa được chấp nhận về hoạt động dễ dàng Nó phải được tạo ra dựa trên cáctiêu chuẩn hoặc các đặc điểm kỹ thuật mà một nhà cung cấp thực hiện và không thể cóquá nhiều biến thể trong tiêu chuẩn, nếu không nó có thể gây ra những khó khăn trong
hệ thống để phát hiện và phân tích các trạng thái Nó có thể xác định được một dãy cáclệnh chưa được cấu hình và có khả năng theo dõi các profile nói trên trong cả lớpmạng và các lớp ứng dụng
3.2.3 Giám sát Logfile (Monitoring logfile).
Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors), thiết bị này
sẽ cố ngắng phát hiện những sự xâm nhập bằng cách phân tích các log sự kiện của hệthống Ví dụ như, một thiết bị giám sát logfile sẽ tìm kiếm những logfile ghi nhậnnhững truy cập Apache để truy cập tới Apache để tìm ra đặc điểm của yêu cầu /cgi-bin/ Công nghệ này bị giới hạn bởi vì nó chỉ tìm kiếm trong các sự kiện đã được log -