BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

NGUYỄN THỊ THANH HUYỀN

NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG
XÂM NHẬP PHỐI HỢP - CIDS

Chuyên ngành: KỸ THUẬT TRUYỀN THÔNG

LUẬN VĂN THẠC SĨ KỸ THUẬT
Kỹ thuật truyền thông

NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS. PHẠM DOÃN TĨNH

Hà Nội – Năm 2014


MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... 3
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT.............................................. 4
DANH MỤC CÁC BẢNG.......................................................................................... 5
DANH MỤC HÌNH VẼ .............................................................................................. 6
LỜI MỞ ĐẦU ............................................................................................................. 8
Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG ................................................. 10
1.1.

Các vấn đề về an ninh mạng ........................................................................ 10


2.2.1.

Cơ chế phát hiện tấn công mạng trong CIDS ....................................... 37

2.2.2.

Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công. ................ 40

2.2.3.

Phân loại các mô hình phát hiện xâm nhập phối hợp CIDS ................. 43

2.2.4.

Tính tương đối của các cảnh báo .......................................................... 59

Chương 3 - HỆ THỐNG QUẢN LÝ BẢO MẬT MÃ NGUỒN MỞ OSSIM. ....... 70
3.1.

Giới thiệu về hệ thống quản lý OSSIM ....................................................... 70

3.2.

Các chức năng của hệ thống OSSIM. .......................................................... 72

3.3.

Các thành phần trong OSSIM...................................................................... 77

3.3.1.

KẾT LUẬN ............................................................................................................... 98
TÀI LIỆU THAM KHẢO......................................................................................... 99

2


LỜI CAM ĐOAN

Tôi xin cam đoan Luận văn Thạc sỹ kỹ thuật này là do tôi nghiên cứu và được
thực hiện dưới sự hướng dẫn khoa học của TS. Phạm Doãn Tĩnh. Các kết quả do tôi
tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên
cứu khoa học khác được trích dẫn đầy đủ. Nếu có vấn đề về sai phạm bản quyền, tôi
xin hoàn toàn chịu trách nhiệm trước Nhà trường.

Hà Nội, ngày…….tháng…… năm 2014
Học viên

Nguyễn Thị Thanh Huyền

3


DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
ACID
ARP
CGI Scripts
CIDS
DDOS
DHCP
DIDS

Distributed Denial Of Service
Dynamic Host Configuration Protocol
Distributed Intrusion Detection System
Demilitarized Zone
Domain Name System
Denial Of Service
Distributed Reflection Denial of Service
Distributed Security Operation Center
Global detectors
Internetwork Control Message Protocol
IPS + IDS
Intrusion Detection System
Intrusion Prevention System
Local Area Network
Local detectors
Medium Access Control
Mobile Agents based Distributed Intrusion Detection Framework
Network Interface Card
Network Intrusion Detection System
Open Source Security Information Management
Peer – to – Peer
Pre-shared keys
Reverse Address Resolution Protocol
Simple Mail Transfer Protoco
Structured Query Language
Transmission Control Protocol/Internet Protocol
User Datagram Protocol
Wide Area Network

4

Hình 2-12: Ứng dụng phương pháp tiếp cận phân cấp trong mô hình EMERALD . 53
Hình 2-13: Phương pháp tiếp cận phân phối hoàn toàn ............................................ 55
Hình 3-1: Kiến trúc hệ thống quản lý thông tin OSSIM ........................................... 71
Hình 3-2: Khả năng kết nối Plugins với OSSIM ..................................................... 73
Hình 3-3: Thông tin đánh giá tổng quan về Security trên toàn mạng ....................... 74
Hình 3-4: Bảng hiển thị thông tin: Security Report. ................................................. 75
Hình 3-5: Bảng hiển thị thông tin cảnh báo theo các luật được cấu hình ................. 76
Hình 3-6: Giao diện thiết lập luật cho quá theo dõi tất cả các giao thức của Snort .. 77
6


Hình 3-7: Sơ đồ xử lý thông tin giữa OSSIM server - OSSIM agent - Plugin ......... 81
Hình 3-8: Các thành phần và sơ đồ hoạt động trong hệ thống triển khai OSSIM .... 84
Hình 3-9: Thông tin về các Plugin được OSSIM hỗ trợ ........................................... 84
Hình 3-10: Giao diện đăng nhập đồ họa vào OSSIM ............................................... 86
Hình 3-11: Các Plugin đóng vai trò là Monitor trong hệ thống OSSIM................... 88
Hình 3-12: Các Plugin đóng vai trò là Detector trong hệ thống OSSIM .................. 89
Hình 3-13: Giao diện đồ họa triển khai luật trên OSSIM ......................................... 90
Hình 3-14: Cấu hình luật được lưu tương ứng trên OSSIM server .......................... 91
Hình 3-15: Mô hình triển khai thử nghiệm ............................................................... 93
Hình 3-16: Giao diện phần mềm giả lập tấn công DDoS ......................................... 93
Hình 3-17: website trước khi bị tấn công .................................................................. 96
Hình 3-18: Website sau khi bị tấn công .................................................................... 96
Hình 3-19: Kết quả hiện thị trên OSSIM .................................................................. 97

7


LỜI MỞ ĐẦU
Như chúng ta đã biết, ngày nay khi cuộc sống của con người ngày càng hiện đại,


thương mại nổi tiếng: Firewall Site Protecter của IBM, Symantec Endpoint của
hãng bảo mật Symantec,… thực tế đã chứng minh được mô hình hoạt động của hệ
thống an toàn thông tin phối hợp là rất hiệu quả, có tính khả thi cao. Là một người
làm về hệ thống với công việc là triển khai, quản trị và đảm bảo hệ thống bảo mật,
phòng chống virus cho Vietnamairlines thì việc tích hợp triền khai hệ thống phát
hiện, chống xâm nhập phối hợp cho các dịch vụ của đơn vị cung cấp là vô cùng cần
thiết. Do đó tác giả đã lựa chọn đề tài “ Nghiên cứu và ứng dụng hệ thống phát hiện
và chống xâm nhập phối hợp (CIDS)” cho luận văn của mình.
Để hoàn thành được Luận văn Thạc sĩ của mình , em xin gửi lời cảm ơn chân
thành tới Ban giám hiệu, Viện sau đại học, Viện Điện tử Viễn Thông và các Giảng
viên trường Đại học Bách Khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức
quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ.
Em xin gửi lời cảm ơn và lòng biết ơn chân thành tới TS.Phạm Doãn Tĩnh Người đã trực tiếp chỉ bảo, hướng dẫn và giúp đỡ em trong suốt quá trình nghiên
cứu và hoàn thành Luận văn Thạc sĩ.
Cuối cùng, tôi xin chân thành cảm ơn tới các anh, các đồng nghiệp tại Phòng Hạ
tầng CNTT - Công ty Cổ phần tin học viễn thông Hàng Không đã giúp đỡ tôi trong
suốt quá trình thực hiện đề tài.
Xin chân thành cảm ơn!
Hà Nội, Ngày

tháng

năm 2014

Học viên

Nguyễn Thị Thanh Huyền

9

hậu quả rất lớn là nó làm ách tắc toàn mạng.

10


o Tràn bộ đệm (Buffer Overflows): Có hai kiểu tấn công khai thác lỗi làm tràn
bộ đệm là : DNS overflow (Khi một tên DNS quá dài được gửi tới Server) và
Start overflow (khi một tên file quá dài được cung cấp)
o Tấn công SMTP(Sendmail)
o Giả địa chỉ IP (IP spoofing)
o Tấn công trình duyệt Web: do các trình duyệt Web như của Microsoft,
Netscape có khá nhiều lỗ hổng bảo mật nên xuất hiện các tấn công URL,
HTTP, HTML, Java, JavaScript, Frames và ActiveX.
o Tấn công Webserver: Ngoài các lỗ hổng bảo mật do việc thực thi các chương
trình CGI, các web server còn có thể có các lỗ hổng khác. Ví dụ như Web
Server(IIS 1.0.x.x) có một lỗ hổng mà do đó một tên file có thể chèn thêm
đoạn “../” vào trong tên đường dẫn thì có thể di chuyển tới mọi nơi trong hệ
thống file và có thể lấy được bất kỳ file nào. Một lỗi thông dụng khác là lỗi
tràn bộ đệm trong trường hợp Request hoặc trong các trường hợp HTTP
khác.
o CGI Scripts: Các chương trình của CGI nổi tiếng là kém bảo mật. Bởi nó cho
phép web server thực thi một file chạy, do vậy kho các hacker khai thác được
các lỗ hổng bảo mật này thì các hacker hoàn toàn có thể thực thi bất kỳ cái gì
trên máy chủ.
1.1.2. Một số phương thức tấn công trong mạng
Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn
của hệ

ến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí


thông tin

Đích thông tin

Chèn thông tin giả

Hình 1-1:Các tấn công đối với thông tin trên mạng
1.1.2.1. Một số loại tấn công trong mạng
Tấn công ngăn chặn thông tin (interruption)
Tài nguyên thông tin bị phá hủy, không sẵn sàng phục vụ hoặc không sử dụng
được. Đây là hình thức tấncông làm mất khả năng sẵn sàng phục vụ của thông tin
(ví dụ như cắt đường dây hoặc làm tràn ngập liên kết khiến cho thông tin bị loại bỏ
vì tắc nghẽn). Tấn công theo kiểu này là một dạng của tấn công từ chối dịch vụ.
Tấn công chặn bắt thông tin (interception)
Tấn công chặn bắt thông tin là kẻ tấn công có thể truy nhập tới tài nguyên thông
tin. Đây là hình thức tấn công vào tính bí mật của thôngtin.
Tấn công sửa đổi thông tin (Modification)
Tấn công sửa đổi thông tin là kẻ tấn công truy nhập, chỉnh sửa thông tin khi
đang truyền từ nguồn tới đích để thay đổi nội dung thông điệp.
Chèn thông tin giả mạo (Fabrication)

12


Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống mà không có hành
động nào của người gửi. Khi một đối tượng bị nghe lén trước đó được chèn vào,
quá trình này được gọi là Replaying. Khi kẻ tấn công giả vờ là nguồn thông tin hợp
pháp và chèn thông tin theo ý muốn thì cuộc tấn công này được gọi là
Masquerading(giả trang). Đây là hình thức tấn công vào tính xác thực của thông tin.
Bốn cách tấn công trên là xâm phạm đến các thuộc tính bảo mật khác nhau của một

Active sniffer:
o Môi trường hoạt động: Chủ yếu hoạt động trên các mạng sử dụng thiết bị
chuyển mạch (switch).
o Cơ chế hoạt động: Thay đổi đường đi của dòng dữ liệu, áp dụng cơ chế ARP
và RARP (hai cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng
cách phát đi các gói tin đầu độc.
o Đặc điểm: Do phải gửi gói tin đi nên chiếm băng thông của mạng, nếu sniff
quá nhiều trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các
thông tin giả mạo) có thể dẫn tới nghẽn mạng hay gây quá tải lên chính NIC
của máy (thắt nút cổ chai)
o Một số kỹ thuật ép dòng dữ liệu đi qua NIC của mình như:
 ARP poisoning: thay đổi thông tin ARP
 MAC flooding: làm tràn bộ nhớ switch, từ đó switch sẽ chạy chế độ
forwarding mà không chuyển mạch gói.
 Giả MAC: các sniffer sẽ thay đổi MAC của mình thành một MAC của
một máy hợp lệ và qua được chức năng lọc MAC của thiết bị.
 Đầu độc DHCP để thay đổi gateway của máy client.
 DNS spoofing: làm phân giải sai tên miền.
Passtive sniffer
o Môi trường hoạt động: Chủ yếu hoạt động trong môi trường không có thiết
bị switch mà dùng hub.
o Cơ chế hoạt động: Hoạt động dựa trên cơ chế broadcast gói tin trong mạng,
do không có thiết bị switch nên các các gói tin được broadcast đi trong mạng,
có thể bắt các gói tin lại để xem (dù host nhận gói tin không phải là nơi gói
tin đó gửi tới)

14


o Đặc điểm: Do máy tự broadcast gói tin nên hình thức Passtive sniff này rất



c. Tấn công từ chối dịch vụ (DoS)
Về cơ bản, tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho
một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động
của hệ thống hoặc hệ thống phải ngưng hoạt động[2] . Tùy theo phương thức thực
hiện mà nó được biết dưới nhiều tên gọi khác nhau. Đầu tiên là lợi dụng sự yếu kém
của giao thức TCP để thực hiện tấn công từ chối dịch vụ DoS, tiếp theo là tấn công từ
chối dịch vụ phân tán DDoS, mới nhất là tấn công từ chối dịch vụ theo phương pháp
phản xạ DRDoS
Tấn công từ chối dịch vụ cổ điển DoS
o SYN Attack: SYN Attack được xem là một trong những kiểu tấn công
DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba
bước”, mỗi khi client muốn thực hiện kết nối với server thì nó thực hiện
việc bắt tay ba bước thông qua các gói tin (packet)
 Bước 1: client sẽ gửi gói tin (packet chứa SYN=1) đến máy chủ để
yêu cầu kết nối.
 Bước 2: khi nhận được gói tin này, server gửi lại gói tin SYN/ACK
để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và
chuẩn bị tài nguyên cho việc yêu cầu này. Server sẽ dành một phần
tài nguyên để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác
của client như địa chỉ IP và cổng (port) cũng được ghi nhận.
 Bước 3: cuối cùng client hoàn tất việc bắt tay ba bước bằng cách

hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối. Thường
để giả địa chỉ IP, các hacker hay dùng Raw Sockets(không phải gói
tin TCP hay UDP) để giả mạo hay ghi đè giả lên IP gốc của gói tin.
Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng
như bao gói tin khác, vẫn hợp lệ đối với server và server sẽ cấp vùng
tài nguyên cho đường truyền này, đồng thời ghi nhận toàn bộ thông

Xuất hiện vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao
hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng
băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt
động. Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều
máy tính/mạng máy tính trung gian(đóng vai trò zombie) từ nhiều nơi để đồng
loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và
làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Các giai đoạn
của một cuộc tấn công kiểu DDoS:
o Giai đoạn chuẩn bị.
o Giai đoạn xác định mục tiêu và thời điểm.
o Phát động tấn công.
o Xoá dấu vết.
Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS

18


TCP
server

Các máy chủ trên
mạng

Tạo gọi tin SYN giả mạo

Gói SYN chứa địa chỉ
nạn nhân

TCP
server


TCP
server

TCP
server

Nạn nhân

Hình 1-3: Tấn công kiểu DRDoS
Sử dụng các server phản xạ, máy tấn công sẽ gửi yêu cầu kết nối tới các server có
bandwitch rất cao trên mạng – server phản xạ, các gói tin yêu cầu kết nối này mang
địa chỉ IP giả - chính là địa chỉ IP của máy nạn nhân. Các server phản xạ này gửi lại
máy nạn nhân các gói SYN/ACK dẫn tới hiện tượng nhân băng thông. Tuy nhiên
với cách tấn công này, kẻ tấn công cũng không thu được thông tin gì thêm về hệ
thống. Nó chỉ đơn thuần làm hệ thống tê liệt không hoạt động được mà thôi.
Tấn công sử dụng mã độc (malicious software): Phần mềm độc hại là một phần
mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy
tính mà người sử dụng không hề hay biết. Tùy theo cách thức mà tin tặc sử
dụng, mà sự nguy hại của các lọai phần mềm độc hại khác nhau. Phần mềm độc
hại bao gồm một số loại cơ bản sau: virus, worm, trojan horse, adware,
spyware….
o Virus: Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào
những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ
19


những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một
mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong
một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành


chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật
che giấu bao gồm:
- Đổi tên malware thành những file giống với file bình thường trên hệ thống.
- Cản trở cài đặt anti-malware để không thông báo vị trí của malware.
- Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh
hơn những phần mềm bảo mật. Ví dụ như: Vundo là loại Trojan horse
điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương
trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản
trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét
malware trực tiếp đĩa CD.
o Adware/spyware
- Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự
cho phép của người dùng. Adware thường được cài đặt bởi một thành
phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm
giảm đáng kể sự thực thi của máy tính.
- Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà
người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều
spyware.
1.2. Các giải pháp trong triển khai an ninh mạng
1.2.1. Các chiến lược bảo vệ mạng
Quyền hạn tối thiểu (Least Privilege)
Đây là chiến lược cơ bản nhất về an toàn, không chỉ cho an ninh mạng mà còn
cho mọi cơ chế an ninh khác. Về cơ bản nguyên tắc này có nghĩa là bất kỳ một đối
tượng nào (người sử dụng, người quản trị hệ thống.....) chỉ có những quyền hạn nhất
định nhằm phục vụ cho công việc của đối tượng đó và không hơn nữa. Quyền hạn
tối thiểu là nguyên tắc quan trọng nhằm giảm bớt những sự phô bày mà kẻ tấn công
có thể tấn công vào hệ thống và hạn chế sự phá hoại do các vụ phá hoại gây ra
Bảo vệ theo chiều sâu (Defence In Depth)
Một nguyên tắc khác của mọi cơ chế an ninh là bảo vệ theo chiều sâu không phụ

Có hai nguyên tắc cơ bản mà ta có thể quyết định đến chính sách an ninh:
o Mặc định từ chối: chỉ quan tâm những gì ta cho phép và cấm tất cả những cái
còn lại.
o Mặc định cho phép: chỉ quan tâm những gì mà ta ngăn cấm và cho qua tất cả
những cái còn lại.
Tính toàn cục
Để đạt được hiệu quả cao, hầu hết các hệ thống an toàn đòi hỏi phải có tính toàn
cục của hệ thống cục bộ. Nếu một kẻ nào đó có thể dễ dàng bẻ gãy một cơ chế an

22


toàn thì chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó rồi
tiếp tục tấn công hệ thống nội bộ từ bên trong. Có rất nhiều hình thức làm hệ thống
mất an toàn và chúng ta cần được báo lại những hiện tượng là xảy ra có thể liên
quan đến an toàn của hệ thống cục bộ.
Đa dạng trong bảo vệ (Diversity of Defence)
Ý tưởng thực sự đằng sau "đa dạng trong bảo vệ" chính là sử dụng các hệ thống
an ninh của nhiều nhà cung cấp khác nhau nhằm giảm sự rủi ro về các lỗi phổ biến
mà mỗi hệ thống mắc phải. Nhưng bên cạnh đó là những khó khăn đi kèm khi sử
dụng hệ thống bao gồm nhiều sản phẩm của những nhà cung cấp khác nhau như:
Cài đặt, cấu hình khó hơn, chi phí cao hơn, bỏ ra nhiều thời gian hơn để có thể vận
hành hệ thống.
Phải thận trọng với ý tưởng đa dạng này vì khi sử dụng nhiều hệ thống khác nhau như
vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể gây ra trường hợp hệ thống
này hạn chế hoạt động của hệ thống khác mà không hỗ trợ nhau như mong muốn.
Đơn giản (Simplicity)
Đơn giản là một trong những chiến lược an ninh vì hai lý do sau:
o Thứ nhất: Với những gì đơn giản thì có nghĩa là dễ hiểu, nếu ta không hiểu
phần nào đó, ta không chắc chắn liệu nó có an toàn hay không.


Plan text

Encryption
Sender

Key

Cipher text

Original Plan Text
Encryption
Receiver

Hình 1-4: Mã hóa và giải mã
Thông điệp ban đầu được gọi là bản rõ. Qúa trình chuyển thông điệp này qua
ứng dụng và luật chuyển dạng vào một định dạng mà dấu đi lõi của nó được gọi là
mã hóa. Thông điệp tương ứng đã được ngụy trang được gọi là bản mã. Phải chú ý
đảm bảo quá trình chuyển từ bản rõ sang bản mã không bị mất thông tin để người
nhận có thể phục hồi lại thông điệp trong bất cứ tình huống nào. Các luật chuyển
đổi được miêu tả bằng một thuật toán mã hóa. Chức năng của thuật toán này được
dựa trên hai nguyên tắc cơ bản: Phép thế và hoán vị. Trong trường hợp phép thế,
từng phần tử của bản rõ(ví dụ bít, khối) được phản xạ tới một phần tử khác của bản
mẫu tự được sử dụng. Phép hoán vị miêu tả quá trình các phần tử của bản rõ được
sắp xếp lại. Hầu hết các hệ thống bao gồm nhiều bước (còn gọi là nhiều vòng) của
24