ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
MỤC LỤC
GVHD: THẦY NGUYỄN HÒA 1
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
LỜI CẢM ƠN.
Tôi xin gửi lời cảm ơn tới thầy Nguyễn Hòa trong khoa Công Nghệ Thông Tin
trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn và giúp đỡ tận tình để
tôi thực hiện và hoàn thành đồ án chuyên ngành. Và cũng chân thành cảm ơn các thầy cô
khoa Công Nghệ Thông Tin tạo điều kiện cho tôi thực hiện đồ án này.
Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án
này còn nhiều thiếu sót. Tôi rất mong nhận được những ý kiến đóng góp quý báo từ các
thầy cố và các bạn.I. Giới hạn của đề tài và mục tiêu.
1.1 Giới hạn của đề tài.
IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra các cảnh báo
đến nhà quản trị mạng.
Tôi thực hiện đề tài này với mong muốn có thể tìm hiểu, nghiên cứu những đặc trưng
cơ bản của hệ thống phát hiện và ngăn chặn xâm nhập IDS. Với vai trò là công cụ bảo
mật mới bổ sung cho các công cụ hay phần mềm phổ biển để tang mức độ an toàn đối với
hệ thống hiện hành.
IDS có hai phần đó là NIDS (Network Intrusion Detection System) và HIDS (Host
Intrusion Detection System) thì tôi nghiên cứu phần HIDS. HIDS thì tôi giới hạn nghiên
cứu phần Install một phần mềm bên máy client và cài đặt cấu hình Server thì quản trị trên
server có thể phát hiện được.
1.2 Mục tiêu của đề tài
- Nắm về hệ thống phát hiện xâm nhập : khái niệm IDS, các thành phần của IDS, các
mô hình, ứng dụng IDS phổ biến hiện nay.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.
GVHD: THẦY NGUYỄN HÒA 2
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thường.
3.1.2 Các thành phần, cấu trúc và chức năng của IDS
3.1.2.1 IDS bao gồm các thành phần chính:
Thành phần thu thập gói tin, thành phần này có nhiệm vụ lấy các gói tin đi đến
mạng. Thông thường các gói tin có địa chỉ không phải của một cart mạng thì sẽ bị cart
mạng đó hủy bỏ nhưng cart mạng của IDS được đặt ở chế độ thu nhận tất cả. Bộ phận thu
thập gói tin sẽ đọc thông tin của từng trường trong gói tin, xác định chúng thuộc kiểu gói
tin nào, dịch vụ gì…. Các thông tin này được chuyển đến thành phần phát hiện tấn công.
Thành phần phát hiện gói tin, ở thành phần này, các bộ cảm biến đóng vai trò quyết
định. Vai trò của bộ cảm biến là dung để lọc thông tin và loại bỏ những thong tin dữ liệu
không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ.
Thành phần phản hồi, khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần
phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến
từng thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện
chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị.
3.1.2.2 Chức năng
Cảnh báo thời gian thực là gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin, các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tập tin
log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn công hoạt động.
GVHD: THẦY NGUYỄN HÒA 4
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
Ngăn chặn thai đổi gói tin, khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ
phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở
nên không bình thường.
3.1.2.3 Cấu trúc của IDS
3.1.2.3.1 Các thành phần cơ bản

Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) là một Sensor
thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó
giống như trong trường hợp cùa firewall. Thực tế là một số Sensor thẳng hàng được sử
dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động
cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng
việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được
triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các
mạng. Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn
hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị
này. Thụ động (Passive), Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát
một bản sao của các lưu lượng trên mạng, thường được triển khai giám sát các vị trí quan
trọng trong mạng hư ranh giới giữa các mạng.
3.1.3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Được
triển khai trên từng host,thông thường là một software hoặc một agent, mục tiêu là giám
sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện
các hoạt động khả nghi. Host-based IDS/IPS thường được triển khai trên các host có tính
chất quan trọng ( public servers, sensitive data servers ), hoặc một dịch vụ quan trọng
( trường hợp đặc biệt này được gọi là application-based IDS/IPS ).
Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần
mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển khai
GVHD: THẦY NGUYỄN HÒA 6
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
thẳng hàng ngay phía trước host mà chúng bảo vệ. Một trong những lưu ý quan trọng
trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên
host hay sử dụng agent-based appliances. Trên phương diện phát hiện và ngăn chặn xâm
nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các
đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn. Tuy
nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường

Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ
thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường
được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng.
HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có
nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác.
3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation.
3.2.1 Tổng quan về OSSEC.
Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS
(Host IDS). thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính
sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực.
Nó chạy trên hầu hết các hệ điều hành , bao gồm cả Linux, hệ điều hành MacOS,
Solaris, HP-UX, AIX và Windows.
Kiểm tra tính năng OSSEC và cách thức hoạt động để biết thêm thông tin về
cách OSSEC có thể giúp bạn giải quyết vấn đề an ninh dựa trên máy chủ của bạn.
OSSEC là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống của bạn. Nó trộn
lẫn với nhau tất cả các khía cạnh của HIDS (dựa trên máy chủ phát hiện xâm nhập), giám
sát đăng nhập và SIM / SIEM với nhau trong một giải pháp mã nguồn đơn giản, mạnh mẽ
và cởi mở. Nó cũng được hỗ trợ và hỗ trợ đầy đủ bởi Trend Micro .
OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh báo trên cho
phép họ tập trung vào nâng cao ưu tiên các sự cố quan trọng hơn tiếng ồn thường xuyên
trên hệ thống bất kỳ. Tích hợp với SMTP, tin nhắn và nhật ký hệ thống cho phép khách
hàng được trên đầu trang của các cảnh báo bằng cách gửi những trên e-mail và các thiết
GVHD: THẦY NGUYỄN HÒA 8
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
bị cầm tay như điện thoại di động và máy nhắn tin. Tùy chọn hoạt động phản ứng để
ngăn chặn một cuộc tấn công ngay lập tức cũng có sẵn.
3.2.2 Cài đặt OSSEC
3.2.2.1 Yêu cầu hệ thống
Phần cứng:
Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp. Tuy nhiên

cuối cùng như thế này.
GVHD: THẦY NGUYỄN HÒA 11
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connec đến ossec server
và có giao diện như sao:
Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, sau
khi có key thì tiến hành nhập vào hộp thoại của osses agnent.
GVHD: THẦY NGUYỄN HÒA 12
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
Và quá trình kết nối tới server thành công.
3.3 Nguy cơ từ việc cài đặt các soft ở Workstation.
Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là do
nhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt
web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt
phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó.
Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phần
mềm được cài. Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chí
GVHD: THẦY NGUYỄN HÒA 13
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
có thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phần
mềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.
• Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là : Làm chậm máy, gây lỗi máy bởi
các mã độc.
• Gây hiển thị thông báo lỗi liên tục.
• Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những process nhất
định hoạt động.
• Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính.
• “Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ đích.
• Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau hay
thực hiện các cuộc tấn công khác.

alerts-02.log
Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là
rule 18147 (level 5)
3.3.2 Rule giám sát việc cài đặt mới software.
Ossec đã xây dựng một rule sẵn với số id là 1847 mình chỉ cần dùng thôi.Khi
cài một gói ứng dụng .msi thì nó sẽ ghi vào log event viewer .Ossec nó đã xây dựng
một decoder event Windows sau nó sẽ tạo một alert.
<rule id="18147" level="5">
GVHD: THẦY NGUYỄN HÒA 16
ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH
<if_sid>18101</if_sid>
<id>^11707</id>
<options>alert_by_email</options>
<description> Application Installed.</description>
</rule>
IV. Nhận xét.
Hệ thống phát hiện xâm nhâp (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng
vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy
cơ tấn công mới. từ đó ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể
lần tìm được thủ phạm gây ra một cuộc tấn công.Một tổ chức lớn không thể nào thiếu
IDS.
Sau khi thực hiện đề tài này tôi có thể biết rõ hơn về được cơ chế hoạt động của hệ
thống phát hiện xâm nhập IDS. Cài đặt và cấu hình một hệ thông phát hiện xâm nhập trên
mạng cục bộ dựa vào phần mềm OSSEC. Và cụ thể hơn đó chính là biết được hệ thống
phát hiện xâm nhập dùng HIDS, một hệ thống có thể giúp chúng ta giám sát được tình
trạng install software từ máy client, mặc dù việc cài đặt này không phân biệt là do nhân
viên cài hay được tự cài từ việc nhân viên truy cập các trang web đều được nhà quản trị
giám sát được từ những cảnh báo mà ossec agent gửi cảnh báo tới ossec server và cụ thệ
hơn là dấu hiệu nhận biết được đó chính là các file logs được phát sinh ra từ ossec server.
Vì đề tài chỉ nghiên cứu một khía cạnh của IDS nên nội dung đề tài không phản ánh