11
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÀI TÂP
NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHÂP IDS
MÔN HỌC: AN NINH MẠNG
GIẢNG VIÊN: PGS. TSKH. HOÀNG ĐĂNG HẢI
Học viên: Phạm Văn Dùng
Lớp: Mạng và Truyền Dữ Liệu – M12CQCT01-B
Hà Nội - Năm 20113
22
Nghiên cứ hệ thống phát hiện xâm nhập IDS
3
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
Phần I: Tổng quan về an ninh mạng
1.1. Khái niệm về bảo mật:
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các
khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các
cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng
cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh
quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ
thống:
- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực
thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm.
- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài
nguyên của hệ thống.
- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm
không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên
mạng chỉ có thể được đọc bởi những nhóm được phép.
- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự
thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông

tấn công như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat.
Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công
5
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải
bỏ nhiều tiền và thời gian để ngăn ngừa.
1.3.4. Mối đe dọa từ bên trong (Internal threat )
Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ
liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên
bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến
vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet.
Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt
nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng,
mọi chuyện còn lại thường là rất đơn giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự
giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành
structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn
trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy
hiểm nhất cho mọi hệ thống.
1.4. Các phương thức tấn công (Attack methods):
1.4.1. Thăm dò (Reconnaisance)
Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống, dịch vụ hay điểm yếu
một cách trái phép. Nó cũng được biết như việc thu thập thông tin, và trong nhiều trường
hợp là hành động xảy ra trước việc xâm nhập hay tấn công từ chối dịch vụ.
Việc thăm dò thường được thực hiện bằng các công cụ hay câu lệnh có sẵn trên hệ
điều hành. Ta có các bước cơ bản của việc thăm dò như sau:
Bước 1: Ping quét để kiểm tra bản đồ IP.

bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn công không cần quyền truy nhập vào
hệ thống. Chỉ với lí do phá hoại, tấn công từ chối dịch vụ gây ra là rất lớn và đây là kiểu
tấn công nguy hiểm nhất đặc biệt là cho các trang web thương mại.
Hình 1.2: Mô hình DDoS attack
Phần II: Hệ thống phát hiện xâm nhập IDS
2.1. Cơ bản về IDS
8
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
2.1.1. Định nghĩa
IDS (Intrusion Detection System) là hệ thống giám sát lưu thông mạng (có thể là
một phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay
những hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công
(FootPrinting, Scanning, Sniffer…), cung cấp thông tin nhận biết và đưa ra cảnh báo cho
hệ thống, nhà quản trị.
IDS được coi là công cụ bảo mật vô cùng quan trọng, nó được lựa chọn là giải
pháp bảo mật được bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các đoạn mã
độc hại hoạt động trong hệ thống mạng, có khả năng vượt qua được Firewall sau đó nó có
thể kết hợp với Firewall hoặc một số công cụ khác để đưa ra cách đối phó với những
đoạn mã độc đó.
Hình 2.1: IDS-giải pháp bảo mật bổ sung cho Firewall
9
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
2.1.2. Chức năng:
Các ứng dụng cơ bản của hệ IDS:
- Nhận diện các nguy cơ có thể xảy ra
- Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ
- Nhận diện các hoạt động thăm dò hệ thống
- Nhận diện các yếu khuyết của chính sách bảo mật

Trong những trường hợp nhất định, dữ liệu không được lưu trữ mà được chuyển
trực tiếp đến các phân tích (thông thường áp dụng với các gói packet).
Hình 2.2: Một ví dụ về hệ IDS
11
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
Hình 2.3: Các thành phần chính của một hệ IDS
Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phân tán.
Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp IDS cùng với các thành phần
an ninh khác như firewall. Triển khai phân tán (distributed IDS) bao gồm nhiều hệ IDS
trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao khả năng nhận diện
chính xác xâm nhập và đưa ra phản ứng thích hợp.
2.3. Cơ chế hoạt động
Hệ thống phát hiện xâm nhập hoạt động dựa trên cơ chế monitor traffic lưu thông
trên hệ thống, việc monitor có thể thực hiện bằng nhiều phương pháp
• Mirror LAN traffic vào cổng monitoring của IDS
• Sử dụng inline IDS (IOS IDS, PIX IDS như đối với Cisco; IDP như đối với
Netscreen; một số còn gọi là IPS)
IDS có khả năng "dò" các kiểu tấn công vào mạng. Chúng ta có thể hình dung hoạt
động của IDS như một camera đặt trong mạng nhằm theo dõi tất cả các gói tin trong
mạng. Tuy nhiên , nó hơn camera thông thường ở chỗ nó có thể phản ứng lại các kiểu tấn
công bằng cách tạo ra các alarm message, gửi đến network administrator thông qua một
"console" gọi là CSPM ( nếu của Cisco ) hoặc báo cho các thiết bị mạng như PIX
12
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
firewall, router để các thiết bị này chặn các session đó lại. IDS có khả năng dò ra những
kiểu tấn công như reconnaissance attack , access attack và denial of service attack
2.3.1. Các phương pháp nhận diện:
Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ

Phân tích trạng thái protocol là quá trình so sánh các profile định trước của hoạt
động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ
lệch. Khác với phương pháp Anomaly-base Detection, phân tích trạng thái protocol dựa
trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó quy định 1 protocol nên
làm và không nên làm gì. "Stateful" trong phân tích trạng thái protocol có nghĩa là IDS có
khả năng hiểu và theo dõi tình trạng của mạng, vận chuyển, và các giao thức ứng dụng có
trạng thái. Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp
trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là
phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công khi
chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức.
2.3.2. Cơ chế bảo mật:
Các cơ chế bảo mật khác nhau được sử dụng nhằm tăng cường các thuộc tính của
chính sách bảo mật. Tùy vào kiểu tấn công mà ta sử dụng các cơ chế khác nhau nhằm
thỏa mãn yêu cầu đặt ra. Có 3 cơ chế chính để chống lại tấn công đó là phát hiện, ngăn
chặn và phòng tránh tấn công.
2.3.2.1. Phát hiện tấn công:
14
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
Cơ chế phát hiện tấn công giả sử rằng kẻ tấn công có thể nhận được quyền truy
nhập tới đối tượng và thành công trong việc xâm phạm vào cơ chế bảo mật xác định. Cơ
chế này dựa trên giả thiết rằng hầu hết thời gian, thông tin được truyền mà không bị gián
đoạn, khi một hành động không mong muốn xảy ra, cơ chế phát hiện tấn công cảnh báo
rằng có điều bất ổn xảy ra và thực hiện hành động tương ứng. Thêm nữa, nó thường được
thiết kế để nhận dạng kiểu tấn công. Thường nó không chỉ được thiết kế để thông báo
phát hiện hành động có ý đồ xấu, mà một số hệ thống còn yêu cầu các tác động của việc
tấn công được khôi phục lại hay cuộc tấn công bị ngăn chặn. Điểm mạnh của cơ chế này
là nó có thể hoạt động ở trạng thái xấu nhất là kẻ tấn công có thể xâm nhập vào hệ thống
và có thể sử dụng hay thay đổi tài nguyên. Điểm yếu của nó là việc phát hiện tấn công
không đảm bảo tính cẩn mật của dữ liệu. Khi chính sách bảo mật xác định được sự vi

định mà thông tin ở đó đã được sửa đổi để nó không thể sử dụng được đối với kẻ tấn
công. Thông tin được xử lý từ phía người gửi trước khi truyền trên các kênh truyền thông
16
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
và được người nhận xử lý sau đó. Trong khi thông tin được truyền trên kênh truyền
thông, kẻ tấn công không thể sử dụng được nó. Tất nhiên là kẻ tấn công vẫn có thể làm
gián đoạn việc truyền thông và ảnh hưởng đến tính sẵn sàng của thông tin.
Hình 2.8: Bảo mật truyền thông với cơ chế Tunneling
Giải pháp thông dụng nhất cho cơ chế này là mã hóa thông tin. Thông tin được mã
hóa trước khi truyền và được người nhận giải mã trở lại trạng thái ban đầu để sử dụng;
trong quá trình truyền thông, kẻ tấn công không thể sử dụng được thông tin đã mã hóa.
Hiện nay có hai mô hình mã hóa cơ bản là mã hóa khóa mật hay khóa đối xứng (Secret
key Cryptography) và mã hóa khóa công khai (Public key Cryptography). Mã hóa khóa
công khai sử dụng khóa có độ dài lớn, thuật toán phức tạp, có độ an toàn cao hơn nhưng
thời gian mã hóa và giải mã chậm, thường sử dụng trong việc truyền khóa mật giữa các
bên truyền thông.
2.3.3. Phản ứng:
Hầu hết các công cụ phát hiện xâm nhập trái phép là thụ động, khi phát hiện được
cuộc tấn công tạo ra cảnh báo nhưng không thực hiện biện pháp đối phó. Đòi hỏi người
quản trị trực tiếp kiểm tra cảnh báo và thực hiện hành động phù hợp. Điều này có thể gây
chậm trễ trong việc xử lý với các cuộc tấn công.
17
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
Có một số IDS có khả năng thực hiện hành động như thay đổi trạng thái bảo mật
để phản ứng lại với những cuộc tấn công. Các IDS này có thể thay đổi quyền của file, đặt
thêm luật của tường lửa, ngừng tiến trình hay ngắt kết nối. Những hệ như vậy có hiệu quả
rất lớn, nhưng cũng có thể bị kẻ tấn công lợi dụng để tự gây hại cho hệ, hay gây từ chối
dịch vụ.

theo các hành động đã được định trước.
2.4.1.5. Phương pháp phân tích thống kê (Statistical Analysis Approach):
Đây là phương pháp thường được sử dụng. Hành vi người dùng-hệ thống (tập các
thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người
dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng
không gian đĩa, bộ nhớ, CPU Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng
để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn
giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các
phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến
nhóm đã được gộp lại cũng ít có hiệu quả. Vì vậy, một mô hình tinh vi hơn về hành vi
người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc
dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong
hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung
trong IDS dựa trên thông tin hành vi người dùng thông thường.
2.4.2. Các kiểu tấn công thông dụng:
2.4.2.1. Tấn công từ chối dịch vụ (Denial of Service Attack):
Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến full-
blown packet storm, Denial of Service (DoS) attack có mục đích chung là đóng băng hay
chặn đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận
19
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống
và ứng dụng.
• Network flooding bao gồm SYN flood, Ping flood hay multi echo request…
• Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các kiểu tấn
công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống. Sự
kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và
thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước.
• Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống

mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ máy tính
hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ
điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị. Hiện nay,
Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng
dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm
lại mật mã, hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm…
- Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0),
gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngoài ra không thể
21
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm, dùng vũ lực
ép buộc…
- Dự đoán và bẻ khóa ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông
dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài khoản khách rồi
chiếm quyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa
từ các từ trong từ điển, ta có một số công cụ như LOPHT Crack, pwldump…
Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố
gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có
hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy
các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc
phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã.
2.4.2.4. Chiếm đặc quyền (Privilege-grabbing):
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy
nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều
này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là
“Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên
Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng
để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ
điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền

hành động tự động, thường có hại, nhưng không có mục đích nhân bản. Thường thì
Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng,
nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống.
- Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương
trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống
trong tương lai (như “msgina.dll” trên Windows NT).
- Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay
ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có vẻ như
thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như
tải file lên web site của kẻ tấn công.
Giải pháp của IDS : Cài đặt các phần mềm bảo mật có tác dụng chống virus và
các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất
để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể đảm
bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết hợp
với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví dụ
như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor.
Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục
đích kiểm tra tính toàn vẹn.
2.4.2.6. Hành động phá hoại trên máy móc (Cyber vandalism):
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi
động và chương trình hệ điều hành, format ổ đĩa.
24
Học Viên: Phạm Văn Dùng – Lớp: Mạng Và Truyền Dữ Liệu – M12CQCT01-B
Nghiên cứ hệ thống phát hiện xâm nhập IDS
Giải pháp của IDS : Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn
thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như mọi
thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang
web nằm trên đó. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web, Host-
based IDS còn có thể thực hiện các hành động đối phó, là những hành động được
Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn