Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
I. Khái niệm về IDS.
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành
vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an
toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty,
các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công
ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các
hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa (firewall)
nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa
trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất
lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu
của hệ thống. Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây được
đông đảo những người liên quan đến bảo mật khá quan tâm, có những tính năng
tốt hơn.
I.1 Khái niệm về IDS.
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ
thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong từ
bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các
hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
I.2 Lịch sử ra đời của IDS:
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James
Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành
vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm
dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống
1
Môn học: Ứng dụng truyền thông và An ninh thông tin
- Giám sát: lưu lượng mạng và các hoạt động khả nghi.
- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Chức năng chính của IDS được cụ thể bởi các hành động như:
- Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống
đã được cài đặt từ trước.
- Phân tích thống kê những luồng traffic không bình thường.
- Đánh giá và kiểm tra tính toàn vẹn của các file được xác định.
- Thống kê và phân tích các user và hệ thống đang hoạt động.
- Phân tích luồng traffic.
- Phân tích event log (ghi chú sự kiện).
3
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
III. Kiến trúc của IDS
Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ cảm
biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần cảnh
báo (Alert Notification).
III.1 Trung tâm điều khiển (The Command Console)
Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí. Nó
duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều
khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm điều
khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua
một đường mã hóa, và nó là một máy chuyên dụng.
III.2 Bộ cảm biến (Netword Sensor)
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy
chuyên dụng trên các đường mạng thiết yếu. Bộ cảm biến có một vai trò
quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến
trên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các
port trên hub, và có thể phát hiện ra các luồng traffic bất thường. Nhưng
gói tin với các tín hiệu được cài đặt trước. Khi có dấu hiệu xâm nhập, một
cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The Command
Console).
4. Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người hay
nhóm người được chỉ định từ trước để giải quyết.
5. Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
6. Cảnh báo được lưu lại.
7. Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.
6
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Hình: Quy trình hoạt động của IDS
7
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
V. Các hành vi bất thường
V.1 Các hành động tấn công
Các loại tấn công được phân thành hai loại như sau:
- Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm
nhập vào hệ thống mà không cần đến sự đồng ý của tài nguyên
CNTT)
- Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của
tài nguyên CNTT)
Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn
công được chia thành:
- Bên trong, những tấn công này đến từ chính các nhân viên của
công ty, đối tác làm ăn hoặc khách hàng
- Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua
Internet.
Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là
- Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền
truy cập)
o Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền
quản trị viên hệ thống.
9
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
o Thay đổi và xóa thông tin
o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở
dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máy
tính của chính phủ.
o Thay đổi cấu hình trái phép đối với hệ thống và các dịch
vụ mạng (máy chủ)
- Từ chối dịch vụ (DoS)
o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc
gửi đi một số lượng lớn các thông tin không giá trị để làm
tắc nghẽn lưu lượng hạn chế dịch vụ.
o Ping (Smurf) – một số lượng lớn các gói ICMP được gửi
đến một địa chỉ quảng bá.
o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các
message trong một thời điểm ngắn.
o SYN – khởi tạo một số lượng lớn các yêu cầu TCP và
không tiến hành bắt tay hoàn toàn như được yêu cầu đối
với một giao thức.
o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau
- Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó
o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng
lớn ICMP (vượt quá 64KB))
o Tắt hệ thống từ xa
10
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ: phần
mềm anti-SATAN.
• Một sự tương quan giữa việc quét và sử dụng là rất cần thiết
– việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năng
dịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công có
thể xuất hiện trong tương lai.
5.2.2 Hoạt động mạng khác thường có tính chất định kỳ
Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai
thác các ứng dụng và tiến hành nhiều phương pháp thử. Các hoạt động
xâm phạm thường khác với hoạt động của người dùng đang làm việc
với hệ thống. Bất kỳ một công cụ kiểm tra thâm nhập đều có thể phân
biệt các hoạt động khả nghi sau một ngưỡng. Nếu vượt quá một
ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và
công bố cho bạn biết. Đây là kỹ thuật thụ động cho phép phát hiện kẻ
xâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cần qua
việc kiểm tra định lượng.
Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập
được điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều
đặn và được xem xét theo các khía cạnh dưới đây:
• Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt
động hợp lệ và nghi ngờ (để kích hoạt các báo cảnh). Các hoạt động
mạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số được
lấy từ (ví dụ) profile người dùng hoặc trạng thái Session.
• Thời gian giữa những lần lặp là một tham số để xác định thời
gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạt động
bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăng nhập
không thành công.
12
Môn học: Ứng dụng truyền thông và An ninh thông tin
Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là
một trong những triệu chứng tấn công tiềm ẩn. Xem xét dữ liệu nguồn
và địa điểm (trong nước hoặc nước ngoài) có thể nhận dạng trực tiếp về
một gói tin.
Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên.
Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một session
đang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ một
mạng nội bộ là một session gửi đi.
Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấu
hiệu của một vụ tấn công:
• Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng
nội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trong trường
hợp đó các gói có địa chỉ nguồn bên trong của chúng. Tình huống này
có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài. Các vấn đề
như vậy có thể được giải quyết tại các bộ định tuyến, chúng có thể so
sánh địa chủ nguồn với vị trí đích. Trong thực tế, số ít bộ định tuyến hỗ
trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành cho tường lửa.
• Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến
mạng ở ngoài với một địa chỉ đích của nó – trường hợp ngược lại. Kẻ
xâm nhập thực hiện từ bên ngoài và nhắm vào một hệ thống ở ngoài
• Các gói có các cổng nguồn và đích không mong muốn – nếu
cổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợp
với loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập
(hoặc quét hệ thống). Ví dụ: yêu cầu Telnet Service trên cổng 100 trong
môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể được
hỗ trợ (nếu có). Sự mâu thuẫn trực tiếp hầu như đều có thể được phát
hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ. Mặc dù vậy,
14
Môn học: Ứng dụng truyền thông và An ninh thông tin
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
công (hoặc quét dịch vụ). Tình huống như vậy có thể cũng là trường
hợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhất
thiết là một tấn công.
• Dịch vụ trộn lẫn các thuộc tính. Thông thường chúng ta có
thể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp cho
một người dùng cụ thể. Ví dụ: nếu người dùng đang trong chuyến đi
công tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tải
file. Bất kỳ những cố gắng nào liên quan đến tài khoản của anh ta thông
qua Telnet để truy cập vào các cổng đều có thể là những tấn công.
Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ,
cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phân biệt
các thuộc tính điển hình và các thuộc tính không mong muốn. Một file
dấu hiệu giữ một số các dịch vụ chung của một người dùng cụ thể cũng
có thể lưu thông tin bổ sung đa thuộc tính. Các thông tin này bao gồm
giờ làm việc liên quan đến hệ thống của người dùng, vị trí của máy
trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng tài nguyên,
khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ.
5.2.6 Các vấn đề không được giải thích
Một kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguy
hiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục trong
hành vi của một hệ thống. Việc kiểm tra các ảnh hưởng như vậy thường
khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện. Dưới đây là
một số ví dụng của nó:
• Các vấn đề không mong muốn với phần cứng hoặc phần
mềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạt
động, những lần khởi động lại hệ thống không mong muốn, thay đổi
các thiết lập đồng hồ hệ thống.
16
Môn học: Ứng dụng truyền thông và An ninh thông tin
trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ
bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận
được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm
quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm
nhập xa hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những
gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn
công hay không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám
sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
18
Copyright: Tài liệu đại học ©