BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN CHUYÊN NGÀNH
HỆ THỐNG PHÁT HIỆN XÂM
NHẬP IDS
GVHD: Lư Huệ Thu
SVTH: Ngô Chánh Tính-107102245
Huỳnh Hoàng Tuấn-107102235
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
TPHCM, Tháng 11 Năm 2010
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
I. Những mối đe dọa về bảo mật
1. Mối đe dọa không có Cấu Trúc (Untructured threat)
2. Mối đe dọa có Cấu Trúc (Structured threat)
3. Mối đe dọa từ Bên Ngoài (External threat)
4. Mối đe dọa từ Bên Trong (Internal threat)
II. Khái niệm về bảo mật
1. Khái Niệm
2. Kiến Trúc Về Bảo Mật
III. Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống
A. Các Phương Pháp Xâm Nhập Hệ Thống
1. Phương thức ăn cắp thống tin bằng Packet Sniffers
2. Phương thức tấn công mật khẩu Password attack
3. Phương thức tấn công bằng Mail Relay
4. Phương thức tấn công hệ thống DNS
5. Phương thức tấn công Man-in-the-middle attack
6. Phương thức tấn công để thăm dò mạng
7. Phương thức tấn công Trust exploitation
8. Phương thức tấn công Port redirection
D. Phân Loại
1. Network-Based IDSs.
2. Lợi thế của Network-Based IDSs.
3. Hạn chế của Network-Based IDSs.
4. Host Based IDS (HIDS).
5. Lợi Thế của HIDS.
6. Hạn chế của HIDS.
7. DIDS.
E. Kiến Trúc Của IDS.
1. Các nhiệm vụ thực hiện.
2. Kiến trúc của hệ thống phát hiện xâm nhập IDS.
II. Phương Thức Thực Hiện.
1. Misuse – based system
2. Anomaly – based system
III. Phân loại các dấu hiệu
1. Phát hiện dấu hiệu không bình thường
2. Các mẫu hành vi thông thường- phát hiện bất thường
3. Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
4. Tương quan các mẫu tham số
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 3
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
IV. CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG
DỤNG CỦA IDS
1. Denial of Service attack (Tấn công từ chối dịch vụ)
2. Scanning và Probe (Quét và thăm dò)
3. Password attack (Tấn công vào mật mã)
4. Privilege-grabbing (Chiếm đặc quyền)
5. Hostile code insertion (Cài đặt mã nguy hiểm)
6. Cyber vandalism (Hành động phá hoại trên máy móc)
7. Proprietary data theft (Ăn trộm dữ liệu quan trọng)
liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus
mới nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng
với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những
phương pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến yêu cầu
phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền
thống.
Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng
chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống
và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên
cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các
chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái
phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế. Nguyên
nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào
tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị,
nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở
Việt Nam hiện nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên
cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là
phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có
thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể
ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ
cho người dùng.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 5
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
I.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT
1. Mối đe dọa không có cấu trúc ( Untructured threat)
Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải
chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người thích
thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn
công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng
cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này
xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ
nhiều tiền và thời gian để ngăn ngừa.
4. Mối đe dọa từ bên trong ( Internal threat )
Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được
thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các
cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối
đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu
bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và
họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để
quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên
server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong
thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty.
Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong
khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các
phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập
vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn
giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured
internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài
nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất
cho mọi hệ thống.
II.KHÁI NIỆM VỀ BẢO MẬT
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 7
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
1. Khái Niệm
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái
niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc
Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương
trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP
spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-
force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,
cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.
3.Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc
Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để
gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm
các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả
năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S
vào một mục tiêu nào đó.
4.Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ
thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
5.Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví
dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng
của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 9
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của
công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.
6.Phương thức tấn công để thăm dò mạng
đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse
sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi
trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address
book của user đó.
B. Các phương pháp phát hiện và ngăn ngừa xâm nhập:
1.Phương thức ăn cắp thống tin bằng Packet Sniffers
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ,
các kết nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
Authentication
Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs).
Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number
( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng.
Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách
ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất.
Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin
đó cũng không có giá trị vì nó đã hết hạn.
Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.
Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng.
Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào
luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này không
làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh
hưởng của nó.
Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên
mạng.
Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu
hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco
dùng giao thức IPSec để mã hoá dữ liệu.
2. Phương thức tấn công mật khẩu Password attack
8.Phương thức tấn công Port redirection
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có
thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 12
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
9.Phương thức tấn công lớp ứng dụng
Một số phương cách để hạn chế tấn công lớp ứng dụng:
Lưu lại log file, và thường xuên phân tích log file
Luôn cập nhật các patch cho OS và các ứng dụng
Dùng IDS, có 2 loại IDS:
• HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn
công lên server đó.
• NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy
có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát
cảnh báo, hay cắt session đó.
Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn
công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một
signature nào đó, nó sẽ phát cảnh báo.
10.Phương thức tấn Virus và Trojan Horse
Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn
cập nhật chương trình chống virus mới.
IV . SỰ CẦN THIẾT CỦA IDS
1 . Sự giới hạn của các biện pháp đối phó
Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó
vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ
thống vẫn có nguy cơ bị tấn công cao.
Firewall bảo vệ hệ thống
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên
ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai. Nó hạn chế việc
truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ
chỉ không đồng nhất.
Có quá ít ứng dụng có sử dụng chứng chỉ.
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng
không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được
định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác
định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
2. Những cố gắng trong việc hạn chế xâm nhập trái phép
Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô
lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng ta
an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận thấy
cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra (audit
trail) với mọi hành động có liên quan đến bảo mật. Ngày nay, hầu hết các hệ điều hành,
ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra. Tư tưởng cơ bản là
nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi. Trong khi đó trong
thực tế, quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn, sức người
có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn. Ví dụ như vào
năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là AUDIT, có nhiệm vụ tự
động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn. Vào năm 1987, một dự án
được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiện đọc
audit trail và tạo ra khuôn mẫu những hành động thông thường, sau đó gửi thông báo về
những hành động lệch so với khuôn mẫu đó. Trong suốt những năm đầu của thập kỷ 90,
cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sự kiện có trong
audit trail.
Tuy nhiên, hầu hết các công ty không thể sử dụng được phương pháp phân tích log
này vì hai lý do chính. Thứ nhất là công cụ đó khá nặng, phụ thuộc vào khả năng hiểu
loại tấn công và điểm yếu của người dùng. Với sự tăng trưởng của số người dùng, hệ
điều hành, ứng dụng, cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làm
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 15
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
chúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ. Do đó, các tổ chức nhận ra rằng thao tác
vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng
đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm
nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại
mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn
chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm
và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát
triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến
rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó,
Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS
tên là Wheel.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 17
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát triển
1. Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính
hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.
Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính
toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật
của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một kẻ tấn
công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là
một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ
chưa được cấp phát. Như đã đề cập ở trên, hệ thống phát hiện xâm nhập là hệ thống phần
mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát hiện ra các dấu
hiệu xâm nhập.
Network IDS hoặc NIDS
Là các hệ thống phát hiện tấn công, nó có thể bắt giữ các gói tin được truyền trên
các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tín
hiệu.
Host IDS hoặc HIDS
Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng. Ta có thể đặt ở một
hoặc nhiều nơi, nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external
hoặc cả 2). Ví dụ, nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ có
một router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hay
firewall). Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗi điểm
kết nối với Internet. Ta có thể hình dung qua hình vẽ sau:
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 19
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
2. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)
là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho
hệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thông bất
thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa người dùng
hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng.
- IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những
người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên
các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus
dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông
mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu
khác thường.
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng
để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải với
mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó. Một hệ
thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
Tính chính xác (Accuracy): IDS không được coi những hành động thông thường
trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành
động thông thường bị coi là bất thường được gọi là false positive).
Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái
phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phép
phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo
[Ranum, 2000] là dưới 1 phút).
trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành
động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các
cảnh báo nhầm đó.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nó đem
lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác
nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên
những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần
loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
C.Sự khác nhau giữa IDS và IPS
1. IDS (Intrusion Detection System )
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 21
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng
hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính,
phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật. Khi mà số vụ tấn
công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thống phát hiện xâm
nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mật của các tổ
chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào
của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm
nhập. Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất
cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là
một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp
để hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định
cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến
mối đe doạ đều bị ngăn chặn.
2. IPS (phát hiện và ngăn chặn xâm nhập )
2.1 Nguyên ý hoạt động của hệ thống
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấn công
đó. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết
bị trong mạng.2.1. Kiến trúc hung của các hệ thống IPSMột hệ thống IPS được xem là
động khác so với bình thường và phương pháp dò này có thể nhận dạng. Có một số kỹ
thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các ức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự
bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt
động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu
hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập,
hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử
của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế
độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách
so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc
để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải
dừng lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động
của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 23
ĐACN-Hệ Thống Phát Hiện Xâm Nhập IDS Giáo Viên Hướng Dẫn Lư Huệ Thu
động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả
trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin
tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các
cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra
các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự
lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai
làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu
nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai để hệ thống
chạy chuẩn xác hơn.)
• Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tín
liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng dữ
liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này,
IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không
làm ảnh hưởng đến tốc độ lưu thông của mạng.
b)IPS trong luồng
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường
lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông. Điều
đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS
ngoài luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm
hơn.
C .Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những
đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa
đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh
mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính
của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ
thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an
toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới
thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên
sử dụng hệ thống IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ
thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ
liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
Ngô Chánh Tính-107102245+++++Huỳnh Hoàng Tuấn-107102235 Page 25
Copyright: Tài liệu đại học ©