Chương IX
Ố Á À
HỆ TH
Ố
NG PH
Á
T HIỆN V
À

NGĂNCHẶN XÂM NHẬP
NGĂN

CHẶN

XÂM

NHẬP

(IDS – Intrusion Detection System)
Bối cảnh
Theo Mạng An toàn thông tin VSEC (The VietNamese
security network), 70% website tạiViệtNamcóthể bị
h
h
hố
hể
bị
hk
kiể
xâm n
h

Việt
Nam
chưa
được
quan
tâm
và
đầu
tưđúng mức.
Trong bốicảnh đó, việc phát triểnvàsử dụng các hệ
thống phát hiệnxâmnhập - IDS ngày càng trở nên phổ
biế
biế
n.
Bối cảnh
Nhiệmvụ của các IDS này là:
T
hu thậpdữ liệumạng
P
hân tích
IDS
T
hu

thập

dữ

liệu


”
chốt
chặn
ở
cửa
ngõ
Firewall
là
một
hệ
thống
khóa
chốt
chặn
ở
cửa
ngõ
mạng, thì hệ thống IDS có thểđược coi như các “cảm
ứng giám sát” đượcdặtkhắpnơitrongmạng để cảnh báo
về các cuộctấncôngđã“quamặt” đượcFirewallhoặc
xuất phát từ bên trong mạng
Một
IDS
ó
hiệ
hâ
tí h
á
ói
ti

hoặc
thông
qua
việc
phân
tích
các
sự
dấu
hiệu
đã
biết
hoặc
thông
qua
việc
phân
tích
các
sự
kiệnbấtthường, từđóngănchặncáccuộctấn công
trước khi nó có th
ể
g
â
y
ra nhữn
g
h
ậ

một

hệ

thống

IDS
Các thành phần chính củamộthệ thống IDS
• Cảm ứng (Sensor):Làbộ phận làm nhiệmvụ phát hiệncác
kiệ
ó
khẳ
ă
đ
d
ih
ủ
hệ
thố
s
ự
kiệ
nc
ó
khẳ
n
ă
ng
đ
e

hiệutấn công hay còn gọilàsự kiện.
• Giao diện(Console):Làbộ phận làm nhiệmvụ tương tác với
ời
ả
t ị
hậ
lệ h
điề
khiể
h t
độ
bộ
S
ngư
ời
qu
ả
n
t
r
ị
,n
hậ
n
lệ
n
h
điề
u
khiể

(Engine)
:
Có
nhiệm
vụ
ghi
lại
tất
cả
các
báo
cáo
về
các sự kiện được phát hiệnbởi các Sensor trong mộtcơ sở dữ
liệuvàsử dụng mộthệ thống các luật để đưa ra các cảnh báo
ê
á
kiệ
ih
hậ
đ
h
hệ
hố
h ặ
h
tr
ê
nc
á

ê
đối
iá
á
¾
Phâ
n
l
oạ
i
d
ựatr
ê
n
đối
tượng g
iá
ms
á
t
 Host-
b
ase
d
IDS
¾
hâ
l i
d
ê

hiện
xâm
nhập
dựa
trên
dấu
hiệu
 Phát hiệnxâmnhậpdựa trên phát hiệnbấtthường
Phân loại dựa trên đối tượng giám sát
• Host-based IDS:
ể
ể
ế
 HIDS ki
ể
mtr
a
lưu thông mạng đang được chuy
ể
n đ
ế
n
máy trạm, bảovệ máy trạm thông qua việcngănchặn
các
gói
tin
nghi
ngờ
Có
khả

nh
ư
dò
t
ìm
passwo
r
d,
l
eo
t
h
a
n
g
ôg
b
t ườ g
ư
dò
t
passwo d,
eo
tag
đặc quyền

Hệ
thống
IDS
có

Phân loại dựa trên đối tượng giám sát
• Network-based IDS (NIDS):
 NIDS là mộtgiải pháp xác định các truy cập trái phép
bằng cách kiểmtracácluồng thông tin trên mạng và giám
át
hiề
á
t
NIDS
t
hậ
à
l ồ
thô
ti
s
át
n
hiề
um
áy
t
rạm,
NIDS
t
ru
y
n
hậ
pv

tin,
phân
tích
nội
dung
gói
tin
và
từ
đó
sinh
ra
các
cảnh báo.
 Trong hệ thống NIDS, các Sensor được đặt ở các điểm
ầ
ể
ề
c
ầ
nki
ể
mtratron
g
mạn
g
,thườn
g
là trướcmi
ề

g
.
Phân loại dựa trên đối tượng giám sát
• Networ
k
-based IDS
(
NIDS
)
:
()
 ĐiểmyếucủaNIDSlàgâyảnh hường đếnbăng
thông mạng do trựctiếp truy cậpvàolưu thông mạng.
NIDS không được định lượng đúng về khả năng xử lý sẽ
trở thành một nút cổ chai gây ách tắc trong mạng.
Phân loại dựa trên đối tượng giám sát
Vị trí củaNIDS
Vị

trí

của

NIDS
HIDS và NIDS
HIDS NIDS
h
ị
hấ
ị

diện
về
Tính
bao
quát
thấp
.
Do
mỗi
máy
trạm
chỉ
nhận
đượctrafficcủamáyđó cho nên không thể có
cái nhìn tổng hợpvề cuộctấn công.
Tính
bao
quát
cao
do
có
cái
nhìn
toàn
diện
về
traffic mạng.
Phụ thuộcvàoHệđiều hành. Do HIDS được cài
đặttrênmáytrạmnênphụ thuộcvàoHệđiều
hành

củaCSDL
¾ Signature-based IDS:
g
 Nếugiống nhau thì đưaracảnh báo
 Sử dụng định nghĩatrừutượng để mô tả về tấn công
 Sự kiện thu bởiIDSđượcsosánhvớicácmục trong CSDL
 Nếugiống nhau thì đưaracảnh báo
Phân loại dựa trên hành vi
¾
Knowledge
-
based
IDS
:
¾
Knowledge
based
IDS
:
 Sử dụng CSDL để lưutrữ thông tin về dạng tấn công
 D
ữ
liệu thu bởiIDSđượcsosánhvớinội dun
g
củaCSDL
¾ Signature-based IDS:
g
 Nếugiống nhau thì đưaracảnh báo
 Sử dụng định nghĩatrừutượng để mô tả về tấn công
 Sự kiện thu bởiIDSđượcsosánhvớicácmục trong CSDL

n
hà
n
h
phâ
nt
í
c
h
n
hữ
ng
dữ
liệ
ut
h
ut
hậ
p
đ
ược.
Thô
ng
thường ở giai đoạnnày,hệ thống IDS sẽ dò tìm trong
dòng
traffic
mạng
những
dấu
hiệu

g,
các Sensor
g
p
ệ
ệ
g,
sẽ gửicảnh báo về cho trung tâm để tổng hợp.
Nguyên lý hoạt động
•
L
iên l
ạ
c:Giaiđo
ạ
nnà
y
g
i
ữ
m
ộ
tvaitrò
q
uan tr
ọ
n
g
tron
g

giao
thức
này
phải
đảm
bảo
tin
giữa
các
thành
phần
.
Các
giao
thức
này
phải
đảm
bảo
tính Tin cậy, Bí mậtvàChịulỗitốt, ví dụ: SSH, HTTPS,
SN
MP
v
3
,
P
ostO
ffi
ce,
.

ng
h
ợp
lệ
.
 Cảnh báo khi mộtmáysử dụng hoặccố gắng sử dụng
những
dịch
vụ
không
hợp
lệ
những
dịch
vụ
không
hợp
lệ
.
 Cảnh báo khi máy cố gắng kếtnối đếnnhững máy
n
ằ
mtron
g
danh sách cân theo dõi
ở
tron
g
ha
y

hệ
thống
IDS
tiên
tiếnhiện nay, sau khi các giai đoạn trên phát hiện được
dấu
hi
ệu
tấ
n
cô
n
g,
h
ệ
t
h
ố
n
g
kh
ô
n
g
nh
ữ
n
g
cả
nh

g
ắt

dị
c
h
vụ.
 Gián đoạn phiên.

Cấm địachỉ IP tấn công
Cấm

địa

chỉ

IP

tấn

công
.
 Tạo log.
TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN
XÂM NH
Ậ
P
IDS
yêu
cầu

bất
thường
trong
mạng
Bấtthường trong mạng là thuậtngữ dùng để chỉ tình
trạng
hoạt
động
của
hệ
thống
mạng
hoạt
động
ngoài
trạng
trạng
hoạt
động
của
hệ
thống
mạng
hoạt
động
ngoài
trạng
thái bình thường
¾ Bấtthường do hỏng hóc: Lỗicủacácthiếtbị trong
ố

c
á
cm
á
yt
í
n
h
khô
ng
đ
ượcx
á
c
minh
 Xâm nhậptừ bêntrong:Truycập vào dl không được phân
quyền
 Lạm quyền: Sử dụng sai quyềntruycậpvàohệ thống
HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN
BẤT THƯỜNG
IDS
dựa
trên
phát
hiện
bất
thường
IDS
dựa
trên

Threshold
Detection
:
Kỹ
thuật
này
nhấn
mạnh
thuật
ngữ
“đếm”. Các mứcngưỡng về các hoạt động bình thường
được đặtra,n
ế
ucós
ự
bấ
tthườn
g
nào đónh
ư
lo
g
in với
g
g
số lần quá quy định, số lượng các tiếntrìnhhoạt động
trên CPU, số lượng mộtloạigóitinđượcgửivượt quá
ứ
m
ứ

c
h
oạ
t
độ
ng
bì
n
h
th
ư
ờ
ng.
S
au
thời
g
i
an
khởi
t
ạo,
hệ
thống sẽ chạy ở chếđộsensor theo dõi các hoạt động
bất
thường
của
mạng
so
với

có tín hiệu
p
g
tấn công thì chếđộtự họcphảidừng lạitớikhicuộctấn
công kết thúc.