Nhận Xét Của Giáo Viên Hướng Dẫn
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
Thành phố Hồ Chí Minh, tháng…. năm 201…..
Giáo viên hướng dẫn
Cô Nguyễn Thị Thanh Vân
Nhận Xét Của Giáo Viên Phản Biện
............................................................................................................................................
............................................................................................................................................
Do thời gian và kiến thức có hạn, bài làm này chắc chắn sẽ còn nhiều sai sót,
chúng em kính mong quý thầy cô và các bạn đóng góp ý kiến để chúng em có thể hoàn
thiện đề tài.
Thành phố Hồ Chí Minh, tháng ….. năm 20…
Nhóm SVTH:
Mục lục:
PHẦN 1:
MỞ ĐẦU
1.1. Tính cấp thiết của đề tài:
-
Hiện nay, thế giới đang trong giai đoạn phát triển về công nghệ thông tin,
mọi giao dịch đang chuyển dần từ trạng thái giao dịch offline sang online. Ví
-
dụ như: giao dịch ATM, mua hàng trực tuyến, giao dịch bằng thẻ VISA, …
Cùng với sự phát triển đó, các cuộc tấn công mạng diễn ra ngày càng nhiều
cùng với nhiều hình thức ngày càng phức tạp hơn, các cuộc tấn công nhằm
-
Chương 1: Tổng quan về IDS, IPS
Trang 11
CHƯƠNG 1: TỔNG QUAN VỀ IDS, IPS
1.1. Tổng quan về IDS:
1.1.1. Giới thiệu về IDS:
IDS (intrusion detection system) hay còn được gọi là hệ thống phát hiện
xâm nhập là một hệ thống phòng chống nhằm phát hiện các cuộc tấn công
thông qua mạng. Mục đích của nó là phát hiện các hoạt động phá hoại đối
với vấn đề bảo mật hệ thống, hoặc những hoạt động trong tiến trình tấn công
như thu thập thông tin hay quét cổng (scanning). Một chức năng chính của
hệ thống này là cung cấp thông tin nhận biết về các hoạt động không bình
thường và đưa ra các cảnh báo cho quản trị viên mạng để tiến hành xử lí đối
với các cuộc tấn công. Ngoài ra,hệ thống IDS cũng có thể phân biệt các cuộc
tấn công từ bên trong mạng hay từ bên ngoài mạng.
IDS có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và
phần cứng.
1.1.2. Thành phần của IDS:
1.1.2.1. Cảm biến (Sensor):
Bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an
ninh của hệ thống mạng, Sensor có chức năng quét nội dung của các gói tin
trên mạng, so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn
công.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên
bất kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên
• Các cảnh báo yêu cầu các đáp ứng ngay lập tức.
• Có khả năng thấp sẽ đưa ra cảnh báo giả (false possitive).
1.1.2.2. Trung tâm điều khiển (Connsole):
Thành phần phát hiện là bộ phận làm có nhiệm vụ giám sát các sự
kiện, các cảnh báo được phát hiện và sinh ra từ Sensor và điều khiển hoạt
động của các bộ Sensor.
Chương 1: Tổng quan về IDS, IPS
Trang 13
Hình 1.2
1.1.2.3.
Engine:
Engine có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được
phát hiện bởi các Sensor trang một cơ sở dữ liệu và sử dụng hệ thống các
luật để đưa ra các cảnh báo trên các sự kiện nhận được cho hệ thống hoặc
cho người quản trị.
1.1.2.4.
Bộ phận phân tích gói tin (Network Trap):
Bộ phận phân tích gói tin là một thiết bị phần cứng được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi
cảnh báo khi phát hiện hành động xâm nhập.
1.1.2.5.
công, nếu gói tin có dấu hiệu tấn công, Densor lập tức đánh dấu gói tin đó và
gửi báo cáo kết quả về cho Engine, Engine sẽ ghi lại tất cả báo cáo của
Sensor, lưu vào cơ sở dữ liệu và quyết định đưa ra mức cảnh báo đối với sự
kiện nhân được. Console làm nhiệm vụ giám sát các sự kiện và cảnh báo
đồng thời điều khiển hoạt động các Sensor.
1.1.3.2. Các phương pháp hoạt động:
Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập: Misuse
Detextion (dò sự lạm dụng) và Anomaly Detection (dò sự bất thường).
Misuse Detection:
•
Các Sensor hoạt động theo cơ chế “ so sánh với mẫu”, các Sensor bắt
các gói tin trên mạng, đọc nội dung gói tin và so sánh các chuỗi ký tự
trong gói tin với các mẫu tín hiệu nhận biết tấn công hoặc mã độc gây
hại cho hệ thống, nếu trong nội dung gói tin có một chuỗi ký tự trùng
với mẫu, Sensor đánh dấu gói tin đó và sinh ra cảnh báo. Vì thế
phương pháp này được gọi là phương pháp dò sự lạm dụng.
• Các tín hiệu để nhận biết các cuộc tấn công được tổng kết và tập hợp
thành một bộ gọi là mẫu hay signatures. Thông thường các mẫu này
được hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn
công, các mẫu này được các trung tâm chuyên nghiên cứu về IDS đưa
ra để cung cấp cho hệ thống IDS trên toàn cầu.
• Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn
công nhanh và chính xác, không đưa ra các cảnh báo sai và giúp
người quản trị tìm ra các lỗ hổng bảo mật trong hệ thống. Tuy nhiên,
phương pháp này có nhược điểm là không phát hiện được các cuộc
…
Seft-learning Detection: kỹ thuật dò này bao gồm hai bước, khi thiết
lập hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học thiết lập
một pro file về cách cư sử mạng với các hoạt động bình thường. Sau
thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor theo dõi cách
hoạt động bất thường của mạng so với profile đã thiết lập. Chế độ tự
học có thể chạy song song với chế độ sensor để cập nhật bản profile
Chương 1: Tổng quan về IDS, IPS
Trang 17
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải
dừng lại tới khi cuộc tấn công kết thúc.
• Anomaly protocol detection:kỹ thuật dò này căn cứ vào hoạt động của
các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không
hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn
công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức
•
quét mạng, quét cổng để thu thập thông tin các hacker.
Phương pháp dò sự bất thường rất hữu ích trong việc phát hiện các
cuộc tấn công kiểu DDOS.
• Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công
mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò
theo signature. Tuy nhiên chúng có nhược điểm là thường tạo ra các
cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
1.1.3.3.
•
Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm để
phát hiện xâm nhập.
• Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông
mạng, cùng với dữ liệu kiểm tra từ một hoặc nhiều máy trạm để phát
hiện xâm nhập.
1.1.4.1. HIDS (Host-based Intrusion Detection System):
Trong hệ thống HIDS, các Sensor thường là một phần mềm trên máy
trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó
nằm trên đó.
Hình 1.5 : Hình ảnh một HIDS
Chương 1: Tổng quan về IDS, IPS
Trang 20
Hệ thống HIDS bao gồm thành phần (Agent) cài đặt trên các máy trạm,
nó xác định các truy cập trái phép vào hệ thống bằng cách phân tích các trao
đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp tin hệ
thống, các hoạt động và trạng thái của hệ thống để từ đó phát hiện ra các truy
cập trai phep1vao2 hệ thống. Khi phát hiện ra các truy cập trái phép Agent
lập tức sinh ra một sự kiện và gửi báo cào về Engine, Engine tiến hành lưu
các báo cáo của Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin để
đưa ra các cảnh báo cho người quản trị hệ thống.
1.1.4.2. NIDS (Network-based Itrusion Detection System):
có ít nhất 3 cổng kết nối, một cổng A , một cổng B và một cổng giám
sát. Để đặt Network tap cho qua tất cả các dữ liệu giữa A và B vì thế
giữa hai diểm A và B vẫn diễn ra bình thường, tuy nhiên dữ liêu trao
đổi đã bị Network tap cao chép và đưa vào thiết bị giám sát thông qua
cổng giám sát.
Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra
trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng,
các Sensor bắt tất cả các gói tin lưu thông trên mạng và phân tích nội
dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công
trong mạng.
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ
thống nhỏ đó là Protocol-based Intrusion Detection System (PIDS) và
Application Protocol-based Intrusion Detection System(APIDS).
PIDS và APIDS được sử dụng để giám sát các ggiao thức không hợp
lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn
ngữ giao tiếp.
Chương 1: Tổng quan về IDS, IPS
Trang 22
Hệ thống PIDS chứa một hệ thống hoặc một thành phần (Agent)
thường được đặt ngay trước một máy chủ, giám sát và phân tích các
giao thức trao đổi giữa các thiết bị được nối mạng (Một máy trạm
hoặc một hệ thống).
Một hệ thống APIDS bao gồm một hệ thống hoặc một thành phần
thường nằm giữa một nhóm các máy chủ, giám sát và phân tích và
phân tích các trao đổi ở lớp ứng dụng cửa một giao thức định sẵn. Ví
dụ: trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao
nhập là dò sự lạm dụng và dò sự bất thường.
1.2.2.3. Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn
công sẽ gửi tín hiệu báo hiệu có tấn công hoặc xâm nhập đến modul phản
ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức năng
ngăn chặn cuộc tấn công hoặc cảnh báo cho người quản trị. Tại modul này,
nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ
thống này được gọi là hệ thống phòng thủ bị động. Modul phản ứng này tùy
theo hệ thống mà có các chức năng và phương pháp ngăn chặn khác nhau.
Dưới đây là một số kỹ thuật ngăn chặn:
•
Kết thúc tiến trình: cơ chế của kỹ thuật này là hệ thống IPS gửi các
gói tin nhằm phá hủy tiến trình bị nghi ngờ. Tuy nhiên phương pháp
này có một số nhược điểm. Thời gian gửi gói tin can thiệp chậm hơn
so với thời điểm tin tặc tấn công, dẫn đến tình trạng tấn công xong rồi
mới bắt đầu can thiệp. Phương pháp này không hiệu quả với các giao
thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải
có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến
trình tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực
hiện được phương pháp này.
• Hủy bỏ tấn công: kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc
chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng
thông tin tấn công. Kiểu phản ứng này là an toàn nhất nhưng lại có
nhược điểm là dễ nhầm với các gói tin hợp lệ.
Chương 1: Tổng quan về IDS, IPS
xâm nhập, tấn công. Vói vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn nó
chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu
thông mạng.
1.2.3.2. IPS trong luồng (In-line IPS):
Vị trí IPS nằm trước tường lửa, luồng dữ liệu phải đi qua IPS trước khi
tới tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức năng
chặn lưu thông nguy hiểm nhanh hơn so với IPS ngoài luồng. Tuy nhiên, vị
trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
1.2.4.
Phân loại:
Chương 1: Tổng quan về IDS, IPS
1.2.4.1.
Trang 25
Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network- based
IPS):
Có hai cách triển khai : trước firewall hoặc sau firewall.
Khi triển khai IPS trước firewall thì hệ thống NIPS có thể bảo vệ toàn
bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ
bị tấn công từ chối dịch vụ với firewall.
Hình 1.7
Khi triển khai IPS sau fire wall có thể phòng tránh được một số kiểu
tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN
Copyright: Tài liệu đại học ©