Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

Xuất phát từ nhu cầu thực tiễn trên, tôi đã chọn đề tài: “Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng” với mong muốn tìm hiểu một cách hệ t

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

- Lương Tuấn Cường

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP

TRONG HỆ THỐNG MẠNG

Chuyên ngành: Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT

Hà Nội – Năm 2017

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

- Lương Tuấn Cường

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ

Họ và tên tác giả luận văn : Lương Tuấn Cường

Đề tài luận văn: Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

Chuyên ngành: Kỹ thuật máy tính

Mã số SV: CA150100

Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 28/04/2017 với các nội dung sau:

- Rút gọn phần lý thuyết chương 1, sửa lại một số thuật ngữ chưa chính xác trong

luận văn

- Đánh số lại các chương mục, vẽ lại các hình vẽ theo chuẩn UML

- Chỉnh sửa lại tài liệu trong mục “TÀI LIỆU THAM KHẢO”

Ngày tháng 05 năm 2017

Giáo viên hướng dẫn Tác giả luận văn

PGS.TS Nguyễn Linh Giang Lương Tuấn Cường

CHỦ TỊCH HỘI ĐỒNG

PGS.TS Ngô Hồng Sơn

LỜI CAM ĐOAN

Sau nhiều tháng tìm hiểu, nghiên cứu, tôi đã hoàn thành đề tài “Nghiên cứu

xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống

mạng” Trong thời gian thực hiện đề tài tôi đã nhận được nhiều sự giúp đỡ từ bạn bè,

các anh chị và thầy cô

Trước tiên tôi xin gửi lời cảm ơn chân thành và sâu sắc đến thầy PGS.TS Nguyễn Linh Giang – Viện Công nghệ thông tin và Truyền thông, trường Đại học Bách khoa Hà nội đã luôn nhiệt tình nhắc nhở, đốc thúc tôi làm việc chăm chỉ, thầy chỉ bảo và gửi tôi nhiều bài báo cáo để tôi có thể tham khảo và hoàn thành đề tài Thầy đã

có những góp ý về cả nội dung và trình bày để tôi có thể hoàn thành bài báo cáo một cách tốt nhất

Tôi xin bày tỏ lòng biết ơn các thầy cô trong Viện Công nghệ thông tin – Truyền thông nói riêng và Đại học Bách khoa Hà nội nói chung đã chỉ dạy, cung cấp những kiến thức quý báu cho tôi trong suốt quá trình học tập và nghiên cứu tại trường

Cuối cùng tôi xin gửi lời cảm ơn tới gia đình, bạn bè, những người luôn cổ vũ, quan tâm và giúp đỡ tôi trong suốt thời gian học tập và làm luận văn

Tuy đã cố gắng tìm hiểu, phân tích nhưng chắc rằng không tránh khỏi những thiếu sót, rất mong nhận được sự thông cảm và góp ý của các thầy cô

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả

Lương Tuấn Cường

MỤC LỤC

I Mở đầu 1

1 Lý do chọn đề tài 1

2 Mục tiêu nghiên cứu 1

3 Phương pháp nghiên cứu 2

4 Đối tượng nghiên cứu 2

5 Dự kiến kết quả nghiên cứu 2

II Nội dung nghiên cứu 3

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 4

1.1.Giới thiệu về An ninh Mạng 4

1.2 Một số kỹ thuật tấn công hệ thống mạng máy tính 6

1.3.Tóm tắt chương 19

CHƯƠNG 2: HỆ THỐNG IDS VÀ IPS 20

2.1 Hệ thống phát hiện xâm nhập mạng máy tính (IDS) 20

2.2 Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) 24

CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA TRÊN SNORT 37

3.1 Giới thiệu về Snort 37

3.2 Triển khai hệ thống Snort 37

3.3 Đặc điểm của snort 39

3.4 Các chế độ hoạt động của Snort 45

3.5 Luật trong snort 48

Chương 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập 52

4.1 Sơ đồ hệ thống 52

4.2 Thử nghiệm hệ thống phát hiện xâm nhập 53

4.3 Đánh giá về hệ thống phát hiện xâm nhập sử dụng Snort (Snort IDS) 74

4.4 Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) 75

4.5 Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort 82

KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU 84

Kết luận 84

Hướng nghiên cứu 84

TÀI LIỆU THAM KHẢO 85

PHỤ LỤC HƯỚNG DẪN CÀI ĐẶT SNORT 86

MỤC LỤC HÌNH ẢNH

Hình 1: Nguy cơ đối với hệ thống 5

Hình 2: Kiến trúc tấn công DDos trực tiếp 10

Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu 10

Hình 4: Thành phần của một hệ thống IDS 21

Hình 5: Kiến trúc của Snort 40

Hình 6: Minh họa hệ thống ngăn chặn xâm nhập sử dụng Snort inline (Snort IPS) 47

Hình 7: Cấu trúc luật trong snort 49

Hình 8: Mô phỏng hệ thống thử nghiệm 52

Hình 9: Mô tả phát hiện của Snort 53

Hình 10: Mô tả phát hiện truy cập vào website của snort 54

Hình 11: Quét cổng FIN Scan 55

Hình 12: Wireshark bắt gói tin FIN Scan 55

Hình 13: Snort IDS phát hiện quét cổng FIN Scan 56

Hình 14: Quét cổng NULL Scan 56

Hình 15: Snort IDS phát hiện quét cổng NULL Scan 57

Hình 16: Quét cổng XMAS Scan 58

Hình 17: Snort IDS phát hiện quét cổng XMAS Scan 59

Hình 18: Mã lỗi SQL injection 60

Hình 19: Trang đăng nhập 60

Hình 20: Đăng nhập thành công 61

Hình 21: Đăng nhập thất bại 61

Hình 22: Mô phỏng tấn công SQL injection qua form đăng nhập 62

Hình 23: Snort IDS phát hiện tấn công SQL injection 63

Hình 24: Bắt gói tin tấn công có từ khóa truy vấn trong SQL 64

Hình 25: Phát hiện tấn công chứa từ khóa truy vấn trong SQL 64

Hình 26: Mô hình bắt tay 3 bước 65

Hình 27: Mô hình tấn công bằng các gói SYN 66

Hình 28: Wireshark bắt gói tin tấn công DOS TCP SYN Flood 68

Hình 29: Phát hiện tấn công TCP SYN Flood 69

Hình 30: Tấn công UDP Flood 70

Hình 31: Wireshark bắt gói tin tấn công DOS UDP Flood 71

Hình 32: Phát hiện tấn công DOS UDP Flood 72

Hình 33: Tấn công DOS ICMP Flood 72

Hình 34: Tấn công DOS ICMP Flood 73

Hình 35: Wireshark bắt gói tin tấn công DOS ICMP Flood 73

Hình 36: Phát hiện tấn công DOS ICMP Flood 74

Hình 37: Cài đặt thành công hệ thống Snort inline 77

Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline 77

Hình 39: Mô tả hệ thống thử nghiệm ngăn chặn xâm nhập 78

Hình 40: Phát hiện tấn công SQL injection trên snort inline 80

Hình 41: Ngăn chặn tấn công DOS TCP SYN Flood 81

Hình 42: Ngăn chặn tấn công DOS UDP Flood 81

Hình 43: Ngăn chặn tấn công DOS ICMP Flood 82

Hình 44: Mô tả cài đặt thành công snort 87

Hình 45: Mô tả cấu hình snort thành công 89

Lương Tuấn Cường – TTMMT – 2015A 1

I Mở đầu

1 Lý do chọn đề tài

Công nghệ thông tin ngày nay được áp dụng vào tất cả lĩnh vực của cuộc sống Có thể thấy máy tính và mạng Internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày Tuy nhiên sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội

có tốc độ phát triển nhanh nhất trên toàn hành tinh Vì vậy việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi ro liên quan đến việc sử dụng máy tính không thể thiếu ở nhiều lĩnh vực

Khi một hệ thống thông tin bị hacker kiểm soát thì hậu quả không thể lường trước được Đặc biệt nếu hệ thống đó là một trong những hệ thống xung yếu của đất nước như hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thì những thiệt hại về kinh tế, an ninh quốc gia là rất lớn Việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép, cũng như cách phòng và chống xâm nhập trái phép hiệu quả, luôn là mong muốn của tất cả những ai làm trong lĩnh vực an ninh mạng

Xuất phát từ nhu cầu thực tiễn trên, tôi đã chọn đề tài: “Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng” với mong muốn tìm hiểu một cách hệ thống về các kỹ thuật tấn công

xâm nhập mạng máy tính, cũng như các cách thức cần thiết để đối phó với vấn

đề này

2 Mục tiêu nghiên cứu

- Tìm hiểu khái quát về hệ thống phát hiện và ngăn chặn xâm nhập, khái niệm, kiến trúc, cơ chế và nguyên lý hoạt động

- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà hacker thường sử dụng

để tấn công vào hệ thống mạng

Lương Tuấn Cường – TTMMT – 2015A 2

- Xây dựng hệ thống IDS, IPS sử dụng hệ thống mã nguồn mở Snort để phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

- Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các kiểu tấn công xâm nhập bất hợp pháp

- Thử nghiệm và xây dựng một số tập lệnh có khả năng ngăn chặn

xâm nhập dựa trên tính năng mở rộng của Snort (Snort inline)

3 Phương pháp nghiên cứu

- Sử dụng HĐH mã nguồn mở Linux để xây dựng hệ thống phát hiện và ngăn chặn xâm nhập

- Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập bằng phần mềm

mã nguồn mở Snort

- Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng những tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống có thể phát hiện và ngăn chặn những tấn công vào hệ thống mạng

- Thực nghiệm đưa ra độ chính xác của các tập lệnh đã xây dựng

4 Đối tượng nghiên cứu

- Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng

- Phần mềm mã nguồn mở Snort

- Cấu trúc của tập lệnh Rules

5 Dự kiến kết quả nghiên cứu

- Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ thống mạng

- Xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập

- Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn công phổ biến như Scan hệ thống, SQL Injection, tấn công từ chối dịch vụ

Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chương chính sau đây:

Lương Tuấn Cường – TTMMT – 2015A 3

Chương 1: Tổng quan về an ninh mạng

Nội dung chương này nêu tổng quan về an ninh mạng, các yếu tố đảm bảo

an toàn thông tin các kỹ thuật tấn công và xâm nhập trái phép mạng máy tính cùng với hậu quả của nó

Chương 2: Hệ thống IDS và IPS

Nội dung chương trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt động hệ thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính

Chương 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên snort

Nội dung chương gồm: Giới thiệu về snort, triển khai hệ thống snort, các đặc điểm, chế độ hoạt động, luật trông snort

Chương 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập

Nội dung chương gồm: xây dựng kịch bản, cài đặt mô phỏng hệ thống và thực hiện các bài thử nghiệm, đánh giá và đưa ra kết luận

II Nội dung nghiên cứu

Lương Tuấn Cường – TTMMT – 2015A 4

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu về An ninh Mạng

1.1.1 An ninh mạng là gì

Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan

và Internet Nếu như máy tính, hệ thống mạng không được trang bị hệ thống bảo

vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, hệ thống mạng sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống bất cứ lúc nào

Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc không xâm nhập bất hợp pháp vào hệ thống mạng

1.1.2 Các yếu tố cần được bảo vệ trong hệ thống mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng

1.1.3 Các yếu tố đảm bảo an toàn thông tin

An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong

Lương Tuấn Cường – TTMMT – 2015A 5

đợi Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ

an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau,

vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau:

- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng

đúng đối tượng

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu

trúc, không mâu thuẫn

- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ

theo đúng mục đích và đúng cách

- Tính chính xác: Thông tin phải chính xác, tin cậy

- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng

được nguồn gốc hoặc người đưa tin

Nguy cơ hệ thống (Risk) được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong

ba cấp độ thấp, trung bình và cao Để xác định nguy cơ đối với hệ thống trước tiên cần phải đánh giá nguy cơ hệ thống theo sơ đồ sau

Hình 1: Nguy cơ đối với hệ thống

Lương Tuấn Cường – TTMMT – 2015A 6

1.1.4 Quá trình đánh giá nguy cơ của hệ thống

- Các điểm truy cập người dùng

- Các điểm truy cập không dây

Ở mỗi điểm truy cập phải xác định được các thông tin có thể truy cập và mức độ truy cập vào hệ thống

 Xác định các mối đe đoạ

Đây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước Các hình thức và kỹ thuật tấn công đa dạng như:

1.2 Một số kỹ thuật tấn công hệ thống mạng máy tính

1.2.1 Tấn công bị động (Passive attack)

Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát luồng dữ liệu không được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text

Lương Tuấn Cường – TTMMT – 2015A 7

password), các thông tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công

có thể xem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động

là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết

1.2.2 Tấn công rải rác (Distributed attack)

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door, với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối, Các cuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ thống

1.2.3 Tấn công nội bộ (Insider attack)

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc, chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,…các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin

1.2.4 Tấn công Phising

Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả trông “giống hệt” như các trang web phổ biến Trong các phần tấn công phising, các hacker sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker

sẽ lưu lại tên người dùng và mật khẩu đó lại

Lương Tuấn Cường – TTMMT – 2015A 8

1.2.5 Tấn công mật khẩu (Password attack)

Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo

1.2.6 Khai thác lỗ hổng tấn công (Exploit attack)

Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và tận dụng kiến thức này để khai thác các lỗ hổng

1.2.7 Buffer overflow (lỗi tràn bộ đệm)

Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng dụng nhiều hơn so với dự kiến Và kết quả của cuộc tấn công buffer attack

là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell

1.2.8 Tấn công từ chối dịch vụ (denial of service attack)

Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial

of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của Distributed Denial of Service) là một nỗ lực làm cho những người dùng

không thể sử dụng tài nguyên của một máy tính Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Thủ phạm tấn công từ chối dịch

vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers

Lương Tuấn Cường – TTMMT – 2015A 9

Đây là một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân

Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ xác định dấu hiệu của một

1.2.8.1 Kiến trúc tấn công DDoS

Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể chia kiến trúc tấn công DDoS thành 2 loại chính: (i) kiến trúc tấn công DDoS trực tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay phản chiếu Hình 1 minh họa kiến trúc tấn công DDoS trực tiếp, theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển

từ xa bởi tin tặc Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler) Hệ thống các Zombie chịu sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay botnet Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim),

Lương Tuấn Cường – TTMMT – 2015A 10

gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng

src: http://i.imgur.com/wR2zovP.jpg truy cập 09/03/2017

Hình 2: Kiến trúc tấn công DDos trực tiếp

src: http://i.imgur.com/NfNbBmM.png truy cập 09/03/2017

Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu

Kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi la Slave Tin tặc điều khiển các Slave thông qua các máy trung gian (Master) Theo

Lương Tuấn Cường – TTMMT – 2015A 11

lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các máy khác (Reflectors) trên mạng Internet Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc

1.2.8.2 Phân loại tấn công DDoS

Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch

vụ cung cấp cho người dùng Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: (1) Dựa trên phương pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4) Dựa trên phương thức giao tiếp, (5) Dựa trên cường độ tấn công và (6) Dựa trên việc khai thác các lỗ hổng an ninh Phần tiếp theo của mục này trình bày chi tiết từng loại

Dựa trên phương pháp tấn công

Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp phân loại cơ bản nhất Theo tiêu chí này, DDoS có thể được chia thành 2 dạng:

Lương Tuấn Cường – TTMMT – 2015A 12

- Tấn công gây ngập lụt (Flooding Attacks): Trong tấn công gây ngập

lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU…

- Tấn công logic (Logical Attacks): Tấn công logic thường khai thác các

tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp

Dựa trên mức độ tự động

Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng:

- Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột

nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công

- Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công

DDoS bao gồm các máy điều khiển (Master/Handler) và các máy Agent (Slave, Deamon, Zombie, Bot) Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng

và lây nhiễm được thực hiện tự động Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công

và đích tấn công đến các agent thông qua các handler Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân

- Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS,

từ tuyển chọn máy Agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động Tất cả các tham số tấn công đều được lập trình sẵn

và đưa vào mã tấn công Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin

Lương Tuấn Cường – TTMMT – 2015A 13

tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy Agent

thể chia thành 2 dạng:

- Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP,

UDP và ICMP được sử dụng để thực hiện tấn công

- Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng

đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch

vụ cho người dùng hợp pháp Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tương tự yêu cầu từ người dùng hợp pháp

Dựa trên phương thức giao tiếp

Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành 4 dạng:

- DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao

gồm các thành phần: Clients, Handlers và Agents (Bots/Zombies) Tin tặc chỉ giao tiếp trực tiếp với clients Clients sẽ giao tiếp với Agents thông qua Handlers Nhận được lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công

- DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống

truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các Agents, không sử dụng Handlers

Lương Tuấn Cường – TTMMT – 2015A 14

- DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang

web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS

- DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp Bản chất của các

mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này

Dựa trên cường độ tấn công

Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn công DDoS thành 5 dạng:

- Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng

cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán trên mạng

- Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng

để gửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng Dạng tấn công này rất khó bị phát hiện do lưu lương tấn công tương tự như lưu lượng đến từ người dùng hợp pháp

- Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ

cao và tấn công cường độ thấp Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp

- Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục

với cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc

Lương Tuấn Cường – TTMMT – 2015A 15

- Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay

đổi động nhằm tránh bị phát hiện và đáp trả

Dựa trên việc khai thác các lỗ hổng an ninh

Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS

có thể được phân loại thành 2 dạng:

- Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được

thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của các botnets Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại

- Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được

thiết kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp Dạng tấn công DDoS này có thể được chia nhỏ thành 2 dạng (i) tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức và (ii) tấn công sử dụng các gói tin được tạo đặc biệt Trong dạng thứ nhất, tin tặc khai thác các lỗi hoặc các tính năng đặc biệt của các giao thức trên hệ thống nạn nhân để gây cạn kiệt tài nguyên Trong dạng thứ hai,

kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng này Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn hơn 64KB gây lỗi các máy chạy hệ điều hành Windows XP

1.2.8.3 CÁC BIỆN PHÁP PHÒNG CHỐNG

Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã được nghiên cứu và đề xuất trong những năm qua Tuy nhiên, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS Thông thường, khi phát hiện tấn công DDoS, việc có

Lương Tuấn Cường – TTMMT – 2015A 16

thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân khỏi tất cả các tài nguyên

do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên trong khi các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt Sau khi hệ thống nạn nhân được ngắt khỏi các tài nguyên, việc truy tìm nguồn gốc và nhận dạng tấn công có thể được tiến hành Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chí chính: (i) Dựa trên vị trí triển khai, (ii) Dựa trên giao thức mạng và (iii) Dựa trên thời điểm hành động

Dựa trên vị trí triển khai: Các biện pháp phòng chống tấn công DDoS

được phân loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nhỏ

Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS

được triển khai ở gần nguồn của tấn công Phương pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS Một số biện pháp cụ thể bao gồm:

- Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến

ở cổng mạng;

- Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận

Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS

được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích Các biện pháp cụ thể có thể gồm:

- Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng

giả mạo

- Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho

hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công Một số

kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,…

Lương Tuấn Cường – TTMMT – 2015A 17

Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công

DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại

Dựa trên giao thức mạng

Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng:

Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:

- Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép

một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin

- SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các

gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP

- Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên

ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP

Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:

- Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP

- Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của

hệ thống đích

- Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ

- Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay

vì Backlogs riêng cho mỗi ứng dụng Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận

- Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi

nó đã được xác nhận Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả

Lương Tuấn Cường – TTMMT – 2015A 18

- Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước

Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:

- Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP

- Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP

- Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công

Dựa trên thời điểm hành động

Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm :

- Trước khi xảy ra tấn công: Các biện pháp phòng chống tấn công

DDoS thuộc dạng này được triển khai nhằm ngăn chặn tấn công xảy ra Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công

- Trong khi xảy ra tấn công: Các biện pháp phòng chống tấn công

DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công Tưởng lửa và các hệ thống IDS/IPS thuộc nhóm này

- Sau khi xảy ra tấn công: Gồm các biện pháp được triển khai để lần vết

và truy tìm nguồn gốc của tấn công DDoS

1.2.9 Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác

Lương Tuấn Cường – TTMMT – 2015A 19

Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

1.3 Tóm tắt chương

Chương 1 đã trình bày tổng quan về an ninh mạng, các kỹ thuật tấn công xâm nhập mạng Như đã nêu ở trên, các kỹ thuật xâm nhập mạng có thể được thực hiện thông qua lỗ hổng bảo mật tại các lớp từ vật lý đến lớp cao Dựa vào

đó, có thể đưa ra các biện pháp rà quét lỗ hổng bảo mật, phát hiện tấn công và đưa ra các biện pháp ngăn chặn, phòng chống xâm nhập trái phép Vấn đề đặt ra

là làm thế nào để phát hiện ra xâm nhập mạng trái phép để từ đó đề ra được các biện pháp phòng chống, ngăn chặn hiệu quả? Trong chương tiếp theo, luận văn

sẽ đi sâu vào mô tả kiến trúc, cơ chế, nguyên lý hoạt động hệ thống phát hiện và ngăn chặn xâm nhập mạng máy tính

Lương Tuấn Cường – TTMMT – 2015A 20

CHƯƠNG 2: HỆ THỐNG IDS VÀ IPS 2.1 Hệ thống phát hiện xâm nhập mạng máy tính (IDS)

2.1.1 Khái niệm hệ thống phát hiện xâm nhập mạng máy tính (IDS)

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là một

hệ thống có nhiệm vụ giám sát các luồng dữ liệu traffic đang lưu thông trên mạng, nhằm phát hiện các hành động tấn công vào một mạng Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra cảnh báo cho quản trị viên biết về các cuộc tấn công này Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker)

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp lý để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt động xâm nhập bằng việc kiểm tra đường truyền của mạng, những host log, những system call, và những khu vực khác khi phát hiện ra những dấu hiệu xâm nhập

Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất

mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

- Tính chính xác (Accuracy): IDS không được coi những hành động

thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường gọi là false positive)

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ phát hiện xâm

nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập

Lương Tuấn Cường – TTMMT – 2015A 21

trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống)

- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm

nhập trái phép nào (xâm nhập không bị phát hiện gọi là false negative) Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin

về các tấn công từ quá khứ, hiện tại và tương lai

2.1.2 Kiến trúc IDS

Một hệ thống IDS bao gồm 3 thành phần cơ bản là:

- Cảm ứng (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có

khả năng đe dọa an ninh hệ thống Sensor có chức năng rà quét nội dung của gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn

công hay còn gọi là sự kiện

- Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người

quản trị, nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra cảnh báo

tấn công

- Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự

kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ

thống hoặc cho người quản trị

Hình 4: Thành phần của một hệ thống IDS

Lương Tuấn Cường – TTMMT – 2015A 22

Như vậy hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo” Các sensor là bộ phận được bố trí trên hệ thống tại những điểm cần kiểm soát Sensor bắt các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn công, nếu các gói tin có dấu hiệu tấn công, Sensor lập tức đánh dấu đấy là một sự kiện

và gửi báo cáo kết quả về cho Engine, Engine ghi nhận tất cả các báo cáo của tất

cả các Sensor, lưu các báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo đối với sự kiện nhận được Console làm nhiệm vụ giám sát, cảnh báo đồng thời điều khiển hoạt động của các Sensor

Đối với các IDS truyền thống, các Sensor hoạt động theo cơ chế “so sánh mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so sánh các xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng một mẫu, Sensor đánh dấu đó là một sự kiện hay đã có dấu hiệu tấn công

và sinh ra cảnh báo Các tín hiệu nhận biết các cuộc tấn công được tổng kết và tập hợp thành một bộ gọi là mẫu (signatures)

2.1.3 Cơ chế, nguyên lý hoạt động của IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:

- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống

- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống

Nguyên lý hoạt động của một hệ thống phòng chống xâm nhập được chia làm 5 giai đoạn chính: Giám sát mạng, Phân tích lưu thông, Liên lạc giữa các thành phần, Cảnh báo về các hành vi xâm nhập và cuối cùng là có thể tiến hành phản ứng lại tùy theo chức năng của từng IDS

Lương Tuấn Cường – TTMMT – 2015A 23

- Giám sát mạng (Monotoring): Giám sát mạng là quá trình thu thập

thông tin về lưu thông trên mạng Việc này thông thường được thực hiện bằng các Sensor Yêu cầu đòi hỏi đối với giai đoạn này là có được thông tin đầy đủ và toàn vẹn về tình hình mạng Đây cũng là một vấn đề khó khăn, bởi vì nếu thoi dõi toàn bộ thông tin thì sẽ tiêu tốn khá nhiều tài nguyên, đồng thời gây ra nguy

cơ tắc nghẽn mạng Nên cần thiết phải cân nhắc để không làm ảnh hưởng đến toàn bộ hệ thống Có thể sử dụng phương án là thu thập liên tục trong khoảng thời gian dài hoặc thu thập theo từng chu kỳ Tuy nhiên khi đó những hành vi bắt được chỉ là những hành vi trong khoảng thời gian giám sát Hoặc có thể theo vết những lưu thông TCP theo gói hoặc theo liên kết Bằng cách này sẽ thấy được những dòng dữ liệu vào ra được phép Nhưng nếu chỉ theo dõi những liên kết thành công sẽ có thể bỏ qua những thông tin có giá trị về những liên kết không thành công mà đây lại thường là những phần quan tâm trong một hệ thống IDS, ví dụ như hành động quét cổng

- Phân tích lưu thông (Analyzing): Khi đã thu thập được những thông

tin cần thiết từ những điểm trên mạng, IDS tiến hành phân tích những dữ liệu thu thập được Mỗi hệ thống cần có một sự phân tích khác nhau vì không phải môi trường nào cũng giống nhau Thông thường ở giai đoạn này, hệ thống IDS

sẽ dò tìm trong dòng traffic mang những dấu hiệu đáng nghi ngờ dựa trên kĩ thuật đối sánh mẫu hoặc phân tích hành vi bất thường Nếu phát hiện ra dấu hiệu tấn công, các Sensor sẽ gửi cảnh báo về cho trung tâm để tổng hợp

- Liên lạc: Giai đoạn này giữ một vai trò quan trọng trong hệ thống IDS

Việc liên lạc diễn ra khi Sensor phát hiện ra dấu hiệu tấn công hoặc bộ xử lý thực hiện thay đổi cấu hình, điều khiển Sensor Thông thường các hệ thống IDS

sử dụng các bộ giao thức đặc biệt để trao đổi thông tin giữa các thành phần Các giao thức này phải đảm bảo tính tin cậy, bí mật và chịu lỗi tốt, ví dụ: SSH, HTTPS, SNMPv3… Chẳng hạn hệ thống IDS của hãng Cisco thường sử dụng giao thức PostOffice định nghĩa một tập các thông điệp để giao tiếp giữa các thành phần

Lương Tuấn Cường – TTMMT – 2015A 24

- Cảnh báo (Alert): Sau khi đã phân tích xong dữ liệu, hệ thống IDS cần

phải đưa ra những cảnh báo Ví dụ như:

+ Cảnh báo địa chỉ không hợp lê

+ Cảnh báo khi một máy sử dụng hoặc cố gắng sử dụng những dịch vụ không hợp lệ

+ Cảnh báo khi máy cố gắng kết nối đến những máy nằm trong danh sách cần theo dõi ở trong hay ngoài mạng…

- Phản ứng (Response): Trong một số hệ thống IDS tiên tiến hiện nay,

sau khi các giai đoạn trên phát hiện được dấu hiệu tấn công, hệ thống không những cảnh báo cho người quản trị mà còn đưa ra các hành vi phòng vệ ngăn chặn hành vi tấn công đó Điều này giúp tăng cường khả năng tự vệ của mạng,

vì nếu chỉ cần cảnh báo cho người quản trị thì đôi khi cuộc tấn công sẽ tiếp tục xảy ra gây ra các tác hại xấu Một hệ thống IDS có thể phản ứng lại trước những tấn công phải được cấu hình để có quyền can thiệp vào hoạt động của Firewall, Switch và Router Các hành động mà IDS có thể đưa ra như:

+ Ngắt dịch vụ

+ Gián đoạn phiên

+ Cấm địa chỉ IP tấn công

+ Tạo log

2.2 Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS)

2.2.1 Khái niệm hệ thống ngăn chặn xâm nhập mạng máy tính

Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention Systems) là hệ thống ngăn chặn xâm nhập có chức năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh Hệ thống ngăn chặn xâm nhập giám sát bất cứ lưu lượng nào của gói tin đi qua và đưa ra quyết định liệu đây có phải là một cuộc tấn công hay một sự truy nhập hợp pháp – sau đó thực hiện hành động thích hợp để bảo vệ hệ thống mạng Trước các hạn chế của hệ thống phát hiện xâm nhập – Intrusion Detection System (IDS), một vấn đề được đặt ra là làm sao

Lương Tuấn Cường – TTMMT – 2015A 25

hệ thống có thể tự động ngăn chặn được các cuộc tấn công chứ không chỉ đưa ra cảnh báo nhằm giảm thiểu công việc của người quản trị Hệ thống ngăn chặn xâm nhập mạng máy tính được phổ biến rộng rãi bởi nó giảm bớt các yêu cầu tác động của con người trong việc ngăn ngừa xâm nhập, có khả năng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công nhằm vào điểm yếu của hệ thống Hệ thống ngăn chặn xâm nhập có thể hoạt động như một hệ thống IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập

Một hệ thống ngăn chặn xâm nhập phát triển đa dạng trong cả phần mềm

và phần cứng, mục đích chung là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của hệ thống Một số IPS so sánh các gói tin nghe được trên mạng với danh sách tấn công đã biết trước thông qua các dấu hiệu, khi lưu lượng mạng được xem là phù hợp với một dấu hiệu thì chúng

sẽ ngăn chặn, hệ thống này gọi là Sign-Based IPS Đối với việc quan sát lưu lượng của hệ thống theo thời gian và xem xét các tình huống không phù hợp với bình thường thì sẽ ngăn lại, hệ thống này gọi là Anomaly-Based IPS

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau Điểm khác nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống Hệ thống IPS

sử dụng tập luật tương tự như hệ thống IDS

2.2.2 Chức năng

IPS có chức năng:

- Tự động chống lại các hành động xâm nhập, tấn công vào các vùng tài nguyên quan trọng của mạng thông qua phương pháp nhận dạng hành vi tấn công

Lương Tuấn Cường – TTMMT – 2015A 26

- Kiểm soát các thông tin trao đổi trên mạng, cảnh báo tới nhà quản trị mạng các dấu hiệu bất thường trên mạng nhằm có các phản ứng kịp thời

- Rà soát, kiểm tra các lỗ hổng trên các thiết bị, máy chủ, máy trạm trên mạng, đưa ra các khuyến nghị cho nhà quản trị mạng để thực hiện khắc phục

2.2.3 Phân loại

Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion

Prevention) thường được triển khai trước hoặc sau firewall Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đối với firewall Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết

nối vào bên trong

Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion

Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình

2.2.4 Kiến trúc của hệ thống ngăn chặn xâm nhập

Một hệ thống IPS gồm có 3 modul chính:

- Modul phân tích gói tin

- Modul phát hiện tấn công

- Modul phản ứng

2.2.4.1 Modul phân tích gói tin

Modul này có nhiệm vụ phân tích cấu trúc thông tin của gói tin NIC card của máy tính được giám sát được đặt ở chế độ promiscuous mode, tất cả gói tin qua chúng đều được sao chép lại và chuyển lên lớp trên.Bộ phân tích gói tin đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì, dịch vụ

Lương Tuấn Cường – TTMMT – 2015A 27

gì, sử dụng loại giao thức nào Các thông tin này được chuyển lên module phát hiện tấn công

2.2.4.2 Modul phát hiện tấn công

Đây là module quan trọng nhất của hệ thống phát hiện xâm nhập, có khả năng phát hiện ra các cuộc tấn công Có một số phương pháp để phát hiện ra các dấu hiệu xâm nhập hoặc các kiểu tấn công (signature-base IPS, anomally-based, IPS, )

hệ thống phải luôn luôn cập nhật các kiểu tấn công mới

Phương pháp dò sự không bình thường

Đây là kĩ thuật dò thông minh, nhận dạng các hành động không bình thường của mạng Quan niệm của phương pháp này về các cuộc tấn công là khác với các hoạt động bình thường

Ban đầu chúng sẽ lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp này có thể nhận dạng ra Có một số kỹ thuật dò sự không bình thường của các cuộc tấn công

Phát hiện mức ngưỡng

Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng Các mức ngưỡng về các hoạt động bình thường được đặt ra Nếu có

Lương Tuấn Cường – TTMMT – 2015A 28

sự bất thường nào đó, ví dụ như đăng nhập vào hệ thống quá số lần quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi quá mức thì hệ thống cho rằng có dấu hiệu tấn công

Phát hiện nhờ quá trình tự học

Kỹ thuật này bao gồm 2 bước, khi bắt đầu thiết lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo hồ sơ về cách cư xử của mạng với các hoạt động bình thường Sau một thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách

so sánh với hồ sơ đã được tạo

Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ

sơ, nhưng nếu dò ra các dấu hiệu tấn công thì chế độ tự học phải ngừng lại cho đến khi cuộc tấn công kết thúc

Phát hiện sự không bình thường của giao thức

Kỹ thuật này căn cứ vào các hoạt động của các giao thức, các dịch vụ của

hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu thập thông tin hệ thống của hacker

Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các kiểu tấn công từ chối dịch vụ DDOS Ưu điểm của phương pháp này là có thể phát hiện các kiểu tấn công mới, cung cấp thông tin hữu ích

bổ sung cho phương pháp dò sự lạm dụng Tuy nhiên chúng có nhược điểm là thường gây ra các cảnh báo sai làm giảm hiệu suất hoạt động của mạng

2.2.4.3 Modul phản ứng

Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn công

sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến modul phản ứng Lúc

đó modul phản ứng sẽ kích hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động Modul

Lương Tuấn Cường – TTMMT – 2015A 29

phản ứng này tùy theo hệ thống mà có các chức năng khác nhau Dưới đây là một số kỹ thuật ngăn chặn:

Terminate session

Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập cuộc giao tiếp tới cả client và server Kết quả cuộc giao tiếp sẽ được bắt đầu lại, các mục đích của hacker không đạt được, cuộc tấn công bị ngừng lại Tuy nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích

là quá lâu so với thời gian gói tin của hacker đến được Victim, dẫn đến reset quá chậm so với cuộc tấn công, phương pháp này không hiệu ứng với các giao thức hoạt động trên UDP như DNS, ngoài ra gói Reset phải có trường sequence number đúng (so với gói tin trước đó từ Client) thì server mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc độ nhanh và trường sequence number thay đổi thì rất khó thực hiện được phương pháp này

Drop attack

Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và victim Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ

Modify firewall polices

Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị

Lương Tuấn Cường – TTMMT – 2015A 30

Ba modul trên hoạt động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo

Các kiểu tấn công mới ngày càng phát triển đe dọa đến sự an toàn của các

hệ thống mạng Với các ưu điểm của mình, hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo mật

2.2.5 Các kiểu IPS được triển khai thực tế

Trên thực tế có 2 kiểu IPS được triển khai là: Promiscuous mode IPS và Inline IPS

2.2.5.1 Promiscuous mode IPS

Một IPS đứng trên Firewall Như vậy luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua Firewall và IPS IPS có thể kiểm soát luồng dữ liệu vào, phân tích

và phát hiện các dấu hiệu xâm nhập, tấn công Với vị trí này, promiscuous mode IPS có thể quản lý Firewall, chỉ dẫn Firewall ngăn chặn các hành động

đáng ngờ

2.2.5.2 Inline mode IPS

Vị trí IPS đặt trước Firewall, luồng dữ liệu phải đi qua chúng trước khi

đến được Firewall Điểm khác chính so với promiscuous mode IPS là có thêm chức năng traffic-blocking Điều này làm cho IPS có thể ngăn chặn luồng giao

thông nguy hiểm nhanh hơn Tuy nhiên khi đặt ở vị trí này làm cho tốc độ luồng thông tin ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực Tốc độ hoạt động của hệ thống là một yếu tố vô cùng quan trọng Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay tức thì Nếu không đáp ứng được điều này thì các cuộc tấn công

đã thực hiện xong Hệ thống IPS trở nên vô tác dụng

Lương Tuấn Cường – TTMMT – 2015A 31

2.2.6 Công nghệ ngăn chặn xâm nhập của IPS

2.2.6.1 Signature-based IPS

Là tạo ra các rule gắn liền với những hoạt động xâm nhập tiêu biểu Việc tạo ra các signature-based yêu cầu người quản trị phải thật rõ các kỹ thuật tấn công, những mối nguy hại và cần phải biết phát triển những signature để có thể

dò tìm những cuộc tấn công và các mối nguy hại cho hệ thống của mình

Signature-based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện

có Nếu không có sẽ đưa ra những cảnh báo cho người quản trị biết về cuộc tấn công đó Để xác định được một dấu hiệu tấn công thì cần phải biết cấu trúc của kiểu tấn công, signature-based IPS sẽ xem header của gói tin hoặc phần payload của dữ liệu

Một signature-based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường Những nghiên cứu về những kỹ thuật nhằm tìm ra dấu hiệu tấn công, những mẫu và phương pháp để viết ra các dấu hiệu tấn công Khi càng nhiều phương pháp tấn công và phương pháp khai thác được khám phá, những nhà sản xuất cung cấp bản cập nhật file dấu hiệu Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả lưu lượng trên mạng Nếu có dấu hiệu nào trùng với file dấu hiệu thì các cảnh báo được khởi tạo

Lợi ích của việc dùng Signature-Based IPS

Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lặp thì xác suất xảy ra một cuộc tấn công là rất cao Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng

Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu, không phải những mẫu lưu lượng Hệ thống IPS có thể được định dạng và có thể bắt

Lương Tuấn Cường – TTMMT – 2015A 32

đầu bảo vệ mạng ngay lập tức Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện

sự bất thường

File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiệu cảnh báo Người quản trị bảo mật có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem có cảnh báo nào không

Chính vì phát hiện sử dụng sai là dễ hiểu, bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ

Những hạn chế của Signature-Based IPS

Bên cạnh những ưu điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead Đây là những hạn chế:

- Không có khả năng phát hiện những cuộc tấn công mới hay chưa biết

Hệ thống phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó

có thể nhận ra đợt tấn công đó Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện

- Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết: Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa trên sự bất thường Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện (false negative)

Lương Tuấn Cường – TTMMT – 2015A 33

- Khả năng quản trị cơ sở dữ liệu những dấu hiệu: Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành Đây là công việc mất nhiều thời gian cũng như khó khăn

- Những bộ cảm biến phải duy trì tình trạng thông tin: Giống như Firewall, bộ cảm biến phải duy trì trạng thái dữ liệu Hầu hết những bộ cảm biến giữ trạng thái thông tin bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn

2.2.6.2 Anomaly-based IPS

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường

là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường

Phương thức phát hiện xâm nhập dựa vào sự bất thường là bất cứ sự chệch hướng hay đi khỏi những nguyên tắc thông thường, là quá trình so sánh các định nghĩa sự kiện được cho đâu là những hoạt động bình thường đâu là hoạt động bất bình thường Có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước, bản mô tả này được sử dụng như là đinh nghĩa cho những người sử dụng thông thường và hoạt động mạng, nếu một người sử dụng vi phạm những

gì đã định nghĩa trong mô tả thì hệ thống ngăn chặn xâm nhập sẽ phát sinh cảnh báo Tóm lại, phát hiện dựa trên bất thường hay phân tích sơ lược những hoạt động của mạng và lưu lượng nhằm tìm kiếm sự bất thường, nếu tìm thấy thì một tín hiệu cảnh báo sẽ khởi phát

Lợi ích của việc dùng Anomaly-Based IPS

Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công