Mục lục
Lời cảm ơn............................................................ Error! Bookmark not defined.
Mục lục.................................................................................................................. 1
Danh sách ký hiệu, từ viết tắt ............................................................................ 4
Danh sách hình vẽ ............................................................................................... 7
Lời mở đầu ........................................................................................................... 4
Chương 1 Tổng quan về Hệ thống phát hiện xâm nhập trái phép .............. 9
1. Khái quát về bảo mật hệ thống thông tin.......................................................... 9
1.1 Các nguy cơ đe dọa..................................................................................10
1.1.1 Mối đe dọa ở bên trong .....................................................................11
1.1.2 Mối đe dọa ở bên ngoài.....................................................................11
1.1.3 Mối đe dọa không có cấu trúc ...........................................................12
1.1.4 Mối đe dọa có cấu trúc ......................................................................12
1.2 Các nguyên tắc bảo vệ hệ thống thông tin ................................................13
1.3 Các biện pháp bảo vệ ...............................................................................14
2. Kỹ thuật phát hiện xâm nhập trái phép...........................................................15
2.1 Thành phần ..............................................................................................15
2.2 Phân loại..................................................................................................17
2.2.1 Host-based IDS .................................................................................18
2.2.2 Network-based IDS...........................................................................20
2.3 Nguyên lý hoạt động................................................................................23
2.4 Chất lượng cảnh báo ................................................................................26
2.5 Phát hiện xâm nhập...................................................................................28
3. Kết chương ....................................................................................................29

Chương 2 Hệ thống IDS dựa trên phát hiện bất thường .............................31
1. Định nghĩa Bất thường trong mạng................................................................32
2. Kỹ thuật phát hiện Bất thường .......................................................................34
3. Ưu nhược điểm của Phát hiện bất thường ......................................................35
4. Dữ liệu phát hiện bất thường..........................................................................36
1

4.2 Đánh giá khả năng hoạt động của hệ thống MINDS.................................72
4.3 So sánh giữa MINDS và Snort .................................................................73
4.4 So sánh giữa MINDS và SPADE .............................................................74

2


5. Kết chương ....................................................................................................75

Kết luận................................................................................................................77
Tài liệu tham khảo .............................................................................................80
Phụ lục .................................................................................................................83

3


Lời mở đầu

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở nên vô
cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an
toàn thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty,
các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian các kỹ thuật tấn công
ngày càng tinh vi hơn khiến các hệ thống an ninh trở nên mất hiệu quả. Các hệ
thống an ninh mạng truyền thông thuần túy dựa trên các tường lửa nhằm kiểm
soát luồng thông tin ra vào hệ thống một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật
tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Điều quan trọng nhất của bảo mật mạng máy tính là các mạng máy tính phải
có khả năng bảo vệ tốt. Các hệ thống bảo mật cần thiết phải có các giải pháp hỗ
trợ mềm dẻo và đa năng hơn.


1

Từ nay đến cuối đồ án, hệ thống Phát hiện bất thường được hiểu là Hệ thống Phát hiện xâm nhập trái
phép dựa trên hướng tiếp cận Phát hiện bất thường trong mạng.

5


Danh sách ký hiệu, từ viết tắt
Từ viết tắt

Tên đầy đủ

VPN

Virtual Private Network

IPSec

Internet Protocol Security

IPS

Intrusion Prevention System

HTTPS

Hypertext Transfer Protocol Secure


Finite States Machine

SPADE

Statistical Packet Anomal Detection Engine

MINDS

Minnesota Intrusion Detection System

NN

Nearest Neighbor

BTTM

Bất thường trong mạng

LOF

Local Outlier Factor

KPDL

Khai phá dữ liệu

TCP

Transmission Control Protocol


IDS gửi TCP reset

Hình 1.7

IDS yêu cầu Firewall tạm ngừng dịch vụ

Hình 1.8

Ví dụ về đường cong ROC

Hình 1.9

IDS dựa trên dấu hiệu

Hình 1.10

Thêm luật vào IDS dựa trên dấu hiệu

Hình 2.1

IDS dựa trên phát hiện bất thường

Hình 2.2

Hoạt động của IDS dựa trên phát hiện bất thường

Hình 2.3

Mô hình cơ bản hệ thống Phát hiện xâm nhập bất thường bắng
thống kê xác suất


Khoảng cách tiếp cận R-dis

Hình 3.5

Phân bố điểm dữ liệu

Hình 3.6

Hệ thống Phát hiện bất thường sử dụng Kỹ thuật Khai phá dữ liệu

Hình 3.7

Đường cong ROC của thuật toán

Hình 3.8

Sử dụng nhiều hướng quan sát bổ sung cho nhau

Hình 3.9

Ví dụ về tổng hợp Luật

Hình 3.10

Hoạt động của Môđun Tổng hợp

Hình 3.11

Tập hợp các tri thức tấn công

tả như tỉ lệ thời gian mà hệ thống hay một thành phần dùng cho người
dùng. Tính sẵn sàng luôn luôn có ý nghĩa, nhưng trong một vài ứng
dụng thì đặc biệt cần thiết; chẳng hạn một phút ngừng hoạt động trong
mạng máy tính chỗ hàng không có thể làm thiệt hại mười ngàn đôla, còn
một giờ ngừng trong mạng ngân hàng làm mất khoảng triệu đôla. Tính
sẵn sàng dựa trên độ tin cậy của các thành phần cá nhân trong hệ thống.
Độ tin cậy là xác suất mà một thành phần sẽ thực hiện chức năng đặc
biệt trong thời gian đặc biệt với điều kiện đặc biệt.
9


 Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được
cam kết về mặt pháp luật của người cung cấp.
Cần nhấn mạnh một thực tế rằng không có một hệ thống nào an toàn tuyệt
đối cả. Bởi vì bất cứ một hệ thống bảo vệ dù hiện đại và chắc chắn đến đâu đi
nữa thì cũng có lúc bị vô hiệu hóa bởi những kẻ phá hoại có trình độ cao và có đủ
thời gian. Chưa kể rằng tính an toàn của một hệ thống thông tin còn phụ thuộc rất
nhiều vào việc sử dụng của con người. Từ đó có thể thấy rằng vấn đề an toàn
mạng thực tế là cuộc chạy tiếp sức không ngừng, và không ai dám khẳng định là
có đích cuối cùng hay không.

1.1 Các nguy cơ đe dọa
Nếu không có sự bảo mật thích hợp, bất kì phần nào của bất kì mạng nào có
thể bị ảnh hưởng của những vụ tấn công hay những hoạt động trái phép mang
tính xâm phạm. Những router, switch, và host tất cả có thể bị xâm phạm bởi
những hacker chuyên nghiệp, những người tấn công công ty, hay ngay cả những
nhân viên quốc tế. Thật vậy, theo nhiều sự nghiên cứu, nhiều hơn phân nửa
những người tấn công mạng trên thế giới được trả lương một cách bí mật.
Học viện bảo mật máy tính (CSI) ở San Francisco ước tính rằng khoảng 60
tới 80 phần trăm sự lạm dụng mạng đến từ bên trong những công trình mà sự lạm

Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật.
Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ
có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của
mạng không dây. Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà
các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ
tầng dễ bị nguy hiểm hơn nhiều. Vì vậy, các phương pháp mã hóa mạnh luôn
được sử dụng trong mạng không dây.
1.1.2 Mối đe dọa ở bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng
truy cập từ bên ngoài mạng của công ty và bao gồm tất cả những người không có
quyền truy cập vào mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài
cố gắng từ các server quay số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài
11


là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để
ngăn ngừa.
1.1.3 Mối đe dọa không có cấu trúc
Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống
của một công ty. Các hacker mới vào nghề, thường được gọi là script kiddies, sử
dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn
công DoS (Denial of Server) vào một hệ thống của một công ty. Script kiddies
tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước. Khi script
kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại
lên các công ty không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các
kiddies, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của
cộng đồng. Nếu một web server của một công ty bị tấn công, cộng đồng cho rằng
hacker đã phá vỡ được sự bảo mật của công ty đó, trong khi thật ra các hacker
chỉ tấn công được một chỗ yếu của server. Các server Web, FTP, SMTP và một
vài server khác chứa các dịch vụ có rất nhiều lỗ hổng để có thể bị tấn công, trong

hại khi bị tấn công.
 Thứ hai, cần phải bảo vệ theo chiều sâu. Tư tưởng của chiến lược này là
hệ thống bảo mật gồm nhiều mức, sau mức bảo mật này thì có mức bảo
mật khác, các mức bảo mật hỗ trợ lẫn nhau. Không nên chỉ phụ thuộc
vào một chế độ an toàn dù nó có mạnh đến thế nào đi nữa.


Thứ ba, cần tạo các điểm thắt đối với luồng thông tin. Điểm thắt buộc
những kẻ tấn công vào hệ thống phải thông qua một kênh hẹp mà người
quản trị có thể điều khiển được. Ổ đây, người quản trị có thể cài đặt các
cơ chế giám sát, kiểm tra và điều khiển (cho phép hoặc không cho phép)
các truy cập vào hệ thống. Trong an ninh mạng, IDS nằm giữa hệ thống
bên trong và Internet nhưng trước Firewall như một nút thắt (giả sử chỉ
có một con đường kết nối duy nhất giữa hệ thống bên trong với
Internet). Khi đó, tất cả những kẻ tấn công từ Internet khi đi qua nút thắt
này thì sẽ bị người quản trị theo dõi và phản ứng lại kịp thời. Yếu diểm
của phương pháp này là không thể kiểm soát, ngăn chặn được những
hình thức tấn công đi vòng qua điểm đó.

13


 Thứ tư, để đạt hiệu quả cao, các hệ thống an toàn cần phải đa dạng về
giải pháp và có sự phối hợp chung của tất cả các thành phần bên trong
hệ thống (người sử dụng, phần cứng bảo mật, phần mềm bảo mật và các
cơ chế an toàn, …) để tạo thành hệ bảo mật, giám sát và hỗ trợ lẫn nhau.
Hệ thống phòng thủ gồm nhiều môđun, cung cấp nhiều hình thức phòng
thủ khác nhau. Do đó, môđun này lấp “lỗ hổng” của các môđun khác.
Ngoài Firewall, một mạng LAN hay một mạng cục bộ cần sử dụng các
môđun bảo vệ khác của ứng dụng, hệ điều hành, thiết bị phần cứng, …

hoặc thông qua phân tích các sự kiện bất thường, từ đó ngăn chặn các cuộc tấn
công trước khi nó có thể gây ra những hậu quả xấu đối với tổi chức.
Hệ thống IDS hoạt động dựa trên 3 thành phần chính là Cảm ứng (Sensor),
Giao diện (Console) và Bộ phân tích (Engine). Xét về chức năng IDS có thể phân
làm hai loại chính là Network-based IDS (NIDS) và Host-based IDS (HIDS).
NIDS thường đặt ở cửa ngõ mạng để giám sát lưu thông trên một vùng mạng,
còn HIDS thì được đặt trên từng máy trạm để phân tích các hành vi và dữ liệu đi
đến máy trạm đó. Xét về cách thức hoạt động thì hệ thống IDS có thể chia thành
5 giai đoạn chính là: Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng.
Thời gian gần đây sự hoành hành của các loại virus, worm nhằm vào hệ
điều hành rất lớn. Nhiều koại virus, worm dùng phương pháp quét cổng theo địa
chỉ để tìm ra lỗ hổng và sau đó mới lây lan vào. Với những loại tấn công này nếu
hệ thống mạng có cài đặt hệ thống IDS thì khả năng phòng tránh được sẽ rất lớn.

2.1 Thành phần
Một hệ thống IDS bao gồm ba thành phần cơ bản là: Cảm ứng (Sensor),
Giao diện (Console), Bộ xử lý (Engine).
● Cảm ứng (Sensor): Là một bộ phận làm nhiệm vụ phát hiện các sự kiện
có khả năng đe dọa anh ninh của hệ thống mạng, Sensor có chức năng rà
quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu
và phát hiện các dấu hiệu tấn công hay còn gọi là các sự kiện.

15


● Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người quản
trị, nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra cảnh
báo tấn công.
● Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện
được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một

nhau. Xét về kiểu hành động của IDS có thể phân loại làm 2 loại là IDS chủ động
và IDS bị động [15]:
● IDS chủ động (active detection): Phát hiện và có các hành động phản ứng
chống lại các cuộc tấn công nhằm giảm thiểu các nguy hiểm có thể xảy
ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ,

17


ngắt các kết nối, khóa địa chỉ IP tấn công. IDS chủ động còn có tên gọi
là IPS (Intrusion Prevention System).
● IDS bị động (passive detection): Phát hiện nhưng không có các hành
động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ
hệ thống và cảnh báo cho người quản trị hệ thống. Loại IDS này không
cần thiết phải đặt giữa các kênh truyền (inline), do đó không làm gián
đoạn các kết nối.
Nếu xét về đối tượng giám sát thì có hai loại IDS cơ bản là: Host-based IDS
và Network-based IDS. Từng loại có cách tiếp cận khác nhau nhằm theo dõi và
phát hiện xâm nhập, đồng thời cũng có những lợi thế và bất lợi riêng. Nói một
cách ngắn gọn, Host-based IDS giám các dữ liệu trên những máy tính riêng lẻ
trong khi Network-based IDS giám sát lưu thông của một hệ thống mạng.
2.2.1 Host-based IDS
Những hệ thống Host-based là những kiểu IDS được nghiên cứu và triển
khai đầu tiên. Bằng cách cài đặt những phần mềm IDS trên các máy trạm (gọi là
agent), Host-based IDS có thể giám sát toàn bộ hoạt động của hệ thống, các log
file và lưu thông mạng đi tới từng máy trạm.
HIDS kiểm tra lưu thông mạng đang được chuyển đến các máy trạm, bảo vệ
máy trạm thông qua ngăn chặn gói tin nghi ngờ. HIDS có khả năng kiểm tra hoạt
động đăng nhập vào máy trạm, tìm kiếm các hoạt động không bình thường như
dò tìm password, leo thang đặc quyền v.v.. Ngoài ra HIDS còn có thể giám sát


- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.
- Khi hệ điều hành bị “hạ” do tấn công, đồng thời HIDS cũng bị “hạ”.
- HIDS phải được thiết lập trên từng host cần giám sát.
-

HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat, …).

- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DoS.
2.2.2 Network-based IDS
NIDS là một giải pháp xác định các truy cập trái phép bằng cách kiểm tra
các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network Intrusion
Detection Systems truy cập vào luồng thông tin trên mạng bằng cách kết nối vào
các Hub, Switch để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các
cảnh báo.
Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra trong
mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensor bắt tất
cả các gói tin lưu thông trên mạng và phân tích nội dung bên trong của từng gói
tin để phát hiện các dấu hiệu tấn công trong mạng.

20


Hình 1.4: Mô hình NIDS
Lợi thế của NIDS:
- Quản lý được cả một network segment (gồm nhiều host).
- “Trong suốt” với người sử dụng lẫn kẻ tấn công.

HIDS
Tính quản trị thấp.

NIDS
Quản trị tập trung.

Tính bao quát thấp. Do mỗi máy trạm Tính bao quát cao do có cái nhìn toàn
chỉ nhận traffic của máy đó cho nên diện về traffic mạng.
không thể có cái nhìn tổng hợp về
cuộc tấn công.
Phụ thuộc vào hệ điều hành. Do Không phu thuộc vào hệ điều hành của
HIDS được cài đặt trên máy trạm nên máy trạm.
phụ thuộc vào HĐH trên máy đó.
Không ảnh hưởng đến băng thông NIDS do phân tích trên luồng dữ liệu
mạng.

chính nên có ảnh hưởng đến Băng
thông mạng.

Không gặp vấn đề về giao thức Gặp vấn đề về giao thức truyền: Packet
truyền.

Fragment, TTL
Vấn đề mã hóa: nếu IDS được đặt trong
một kênh mã hóa thì sẽ không phân
tích gói tin.

22



cần thiết từ những điểm trên mạng, IDS tiến hành phân tích những dữ
liệu thu thập được. Mỗi hệ thống cần có một sự phân tích khác nhau vì
không phải môi trường nào cũng giống nhau. Thông thường ở giai đoạn
này, hệ thống IDS sẽ dò tìm trong dòng traffic mạng những dấu hiệu
đáng nghi ngờ dựa trên kỹ thuật đối sánh mẫu hoặc phân tích hành vi bất
thường. Nếu phát hiện dấu hiệu tấn công, các Sensor sẽ gửi cảnh báo về
cho trung tâm tổng hợp.
● Liên lạc: Giai đoạn liên lạc giữ một vai trò quan trọng trong hệ thống
IDS. Việc liên lạc diễn ra khi Sensor phát hiện ra dấu hiệu tấn công hoặc
Bộ xử lý thực hiện thay đổi cấu hình, điều khiển Sensor. Thông thường
các hệ thống IDS sử dụng các bộ giao thức đặc biệt để trao đổi thông tin
giữa các thành phần. Các giao thức này phải đảm bảo tính Tin cậy, Bí
mật và Chịu lỗi tốt, ví dụ SSH, HTTPS, SNMPv3 v.v… Chẳng hạn hệ
thống IDS của hãng Cisco thường sử dụng giao thức PostOffice định
nghĩa một tập các Thông điệp để giao tiếp giữa các thành phần.
● Cảnh báo (Alert): Sau khi đã phân tích xong dữ liệu, hệt hống IDS cần
phải đưa ra được những cảnh báo. Ví dụ như:


Cảnh báo địa chỉ không hợp lệ.

 Cảnh báo khi một máy sử dụng hoặc cố gắng sử dụng những dịch
vụ không hợp lệ.
24


 Cảnh báo khi một máy cố gắng kết nối đến những máy nằm trong
danh sách cần theo dõi ở trong hay ngoài mạng.
