1

LỜI CẢM ƠN
Trước tiên, tôi xin gửi lời cảm ơn chân thành đến thầy giáo đã hướng dẫn
tôi hoàn thành đồ án này. Các thầy đã định hướng cho tôi làm đồ án, hướng dẫn,
truyền đạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần
thiết để tôi hoàn thành được đồ án.
Tôi xin cảm ơn các thầy cô trong Học viện Kỹ đã đào tạo và cung cấp cho
tôi những kiến thức hữu ích, làm hành trang để bước vào cuộc sống.


2

LỜI CAM ĐOAN
Để hoàn thành đồ án này, tôi chỉ sử dụng những tài liệu đã ghi trong mục
tài liệu tham khảo, ngoài ra không sử dụng bất kỳ tài liệu nào khác mà không
được ghi.
Nếu sai, tôi xin chịu mọi hình thức kỷ luật theo quy định của Học viện.
Hà Nội, ngày 05 tháng 06 năm 2015
Học viên thực hiện
(Ký và ghi rõ họ tên)


3

MỤC LỤC

CÁC KÝ HIỆU, CHỮ VIẾT TẮT
V

Tiếng Anh

Intrustion
IDS
Detection System
I
Internet Control Message
Giao thức xử lý các
CMP
Protocol
thông báo trạng thái cho IP
I
Intrustion Detection System
Hệ thống phát hiện xâm
DS
nhập
I
Internet Protocol
Giao thức Internet
P
I
Intrustion
Prevention
Hệ thống ngăn chặn xâm
PS
System
nhập
N
Network Interface Card
Cạc mạng
IC
N

truyền tải


5

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG BIỂU


6

LỜI MỞ ĐẦU
Với sự phát triển của khoa học công nghệ, thông tin được số hóa và được
lưu tại các trung tâm riêng biệt và có thể được chia sẻ rộng rãi trên mạng. Việc
mất mát thông tin trên mạng, lừa đảo trên mạng, tấn công từ chối dịch vụ,…đã
gây nhiều tổn thất trong kinh doanh cũng như gây phiền toái cho người dùng
Internet. Do đó, an toàn thông tin đang là vấn đề đang được quan tâm không chỉ
ở Việt Nam mà còn trên toàn thế giới.
Trong lĩnh vực an toàn thông tin, việc nghiên cứu, phát triển hệ thống bảo
vệ thông tin trước các tấn công bên ngoài và bên trong luôn được các nhà quản
lý chú trọng. Hệ thống phát hiện và ngăn chặn xâm nhập ra đời là một giải pháp
để đáp ứng các nhu cầu của các nhà quản lý.
Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên phần mềm mã nguồn
mở Snort_inline là sự kết hợp các ưu điểm của hệ thống phát hiện xâm nhập
Snort và kỹ thuật tường lửa Iptables. Nó có khả năng phát hiện và tự động ngăn
chặn các hành động cố ý truy nhập trái phép vào hệ thống, các cuộc tấn công
thăm dò chẳng hạn như tràn bộ đệm, quét các cổng, các cuộc tấn công vào
Common Gateway Interface (CGI), dò Server Message Block (SMB), và nhiều
hơn nữa.

đã trở nên rất hữu dụng cho việc bảo vệ các hệ thống mạng máy tính. Bằng cách
đưa ra các cảnh báo khi có dấu hiệu của sự xâm nhập đến hệ thống. Thế hệ tiếp
theo của hệ thống phát hiện xâm nhập là hệ thống ngăn chặn xâm nhập (IPS) ra
đời năm 2004, đang trở nên phổ biến và dần thay thế cho hệ thống IDS. Hệ thống
IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc
tấn công đó.
1.1. Hệ thống phát hiện xâm nhập (IDS – Intruction Detection System)
1.1.1. Giới thiệu về IDS
Hệ thống phát hiện xâm nhập IDS là thiết bị phần cứng hay phần mềm có
chức năng tự động giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác
nhau, sau đó sẽ phân tích để tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ
thống và thông báo đến người quản trị hệ thống. Nói một cách tổng quát, IDS là
hệ thống phát hiện các dấu hiệu xâm hại đến tính bảo mật, tính toàn vẹn và tính
sẵn sàng của hệ thống máy tính và hệ thống mạng, làm cơ sở cho bảo đảm an
ninh hệ thống.
1.1.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa bởi việc gia tăng kết nối mạng và làm tăng sự tin cậy của hệ
thống thông tin này. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp
thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng
hệ thống phát hiện xâm nhập khi những đặc tính của hệ thống phát hiện xâm


9

nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác. IDS có được
chấp nhận là thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là
một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về các
chức năng mà IDS làm được, có thể tóm tắt các chức năng chính như sau:
Các chức năng quan trọng nhất: Giám sát – cảnh báo – bảo vệ

bằng cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui tắc
của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các tập
tin log được lưu vào cơ sở dữ liệu.
Ưu điểm:
- Quản lý được cả một phân đoạn mạng (gồm nhiều host)
- Trong suốt với người sử dụng và kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng đến mạng
- Tránh tấn công DOS ảnh hưởng đến một host nào đó
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)


11

- Độc lập với hệ điều hành
Nhược điểm:
- Không thể phân tích các luồng dữ liệu đã được mã hóa (VD: SSL, SSH,
IPSec…).
- NIDS đòi hỏi phải được cập nhận các dấu hiệu mới nhất để thực hiện an
toàn.
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động.
- Hầu hết các hệ thống NIDS không thể xác định được hành động tấn
công, xâm nhập của kẻ tấn công có thành công hay không, tác động như thế nào
đến tài nguyên mạng. NIDS chỉ phát hiện dấu hiệu hành động tấn công, xâm
nhập ở bên ngoài mạng.
- Hệ thống NIDS gặp nhiều khó khăn với các hành động tấn công sử dụng
phương pháp phân đoạn gói tin do các hệ thống này thường không có cơ chế tái
hợp gói tin để kiểm tra.
1.1.3.2. Host-based IDS (HIDS)



- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
trên được UNIX và những hệ điều hành khác.
1.1.4. Kiến trúc của IDS
Ngày nay người dùng phân biệt các hệ thống IDS khác nhau thông qua
việc phân tích và kiểm tra của các hệ thống. Một hệ thống IDS được xem là
thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra
các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn
chặn thành công và chính sách hợp lý mềm dẻo. Mỗi hệ thống có những ưu điểm
cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả chung như
sau:
Mô hình chung của hệ thống IDS gồm 3 thành phần chính:
- Thành phần thu thập gói tin: bao gồm các điểm có nhiệm vụ bắt các gói
tin truyền trên mạng. Thường các điểm thu thập thông tin được đặt tại các điểm
kết nối giữa mạng nội bộ và mạng bên ngoài, nơi mà mọi trao đổi dữ liệu của
mạng đi qua.


14

- Thành phần phân tích gói tin: nhận các dữ liệu từ các điểm thu thập
thông tin gửi về, từ đó phân tích các mục đích của các gói tin, dựa vào hệ thống
thông tin và chính sách an ninh để tìm ra các hoạt động tấn công, xâm nhập trái
phép.
- Thành phần phản hồi: có nhiệm vụ đưa ra các cảnh báo cho nhà quản trị
mạng dựa vào các kết quả phân tích hoặc đưa ra các phản ứng trước những hành
động bất hợp pháp.
Trong 3 thành phần này thì thành phần phân tích gói tin là quan trọng nhất
và ở thành phần này bộ cảm biến đóng vai trò quyết định nên đồ án sẽ đi sâu vào
phân tích bộ cảm biến.


pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát
hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.
1.1.5.3. Phát hiện dựa trên phân biệt ý định người dùng (User intention
identification)


16

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng
một tập nhiệm vụ mức cao mà người dùng có thể thực hiện được trên hệ thống
(liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số
hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân
tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi
nào một sự không hợp lệ được phát hiện thh́ì một cảnh báo sẽ được sinh ra.
1.1.5.4. Phát hiện dựa trên phân tích trạng thái phiên (State-transition analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được
thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình
bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ
tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước.
1.1.5.5. Phát hiện dựa trên phương pháp phân tích thống kê (Statistical analysis
approach)
Đây là phương pháp thường được sử dụng. Hành vi người dùng hay hệ
thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến
như là: Đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng
thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có
thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho
mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ
trước.
1.1.5.6. Phát hiện dựa vào dấu hiệu
Phát hiện xâm nhập dựa vào dấu hiệu (Signature - Based Detection) để xác


18

người bảo vệ gác cổng cho một khu dân cư, cho phép hoặc từ chối truy nhập dựa
trên cơ sở các ủy nhiệm và tập quy tắc nội quy nào đó.
Các giải pháp IPS “Ngăn ngừa xâm nhập” nhằm mục đích bảo vệ tài
nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công
bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho
phép các hoạt động hợp pháp tiếp tục.
1.2.3. Kiến trúc chung của hệ thống IPS
Một hệ thống IPS gồm có 3 thành phần chính:
- Module phân tích gói tin
- Module phát hiện tấn công
- Mudule phản ứng
1.2.3.1. Module phân tích gói tin
Module này có nhiệm vụ phân tích cấu trúc thông tin của gói tin. NIC
Card của máy tính được giám sát được đặt ở chế độ ngoài luồng, tất cả các gói
tin qua chúng đều được sao chép lại và chuyển lên lớp trên. Bộ phân tích gói tin
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin gì,
dịch vụ gì, sử dụng loại giao thức nào…Các thông tin này được chuyển lên
module phát hiện tấn công.
1.2.3.2. Module phát hiện tấn công
Đây là module quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các
cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là:
dò sự lạm dụng và dò sự không bình thường.
- Phương pháp dò sự lạm dụng:
+ Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm
các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công này



20

công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản
ứng. Lúc đó module phản ứng sẽ khởi động tường lửa thực hiện chức năng ngăn
chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động. Module phản ứng này tùy theo hệ thống mà có các chức năng khác nhau.
Một số kỹ thuật ngăn chặn:
- Chấm dứt phiên (Terminate session)
- Bỏ tấn công (Drop attack)
- Thay đổi luật của tường lửa (Modify firewall polices)
- Cảnh báo thời gian thực (Real-time Alerting)
- Ghi lại vào tệp tin (Log packet)
Ba module trên hoạt động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố:
thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ
thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm
dẻo.
1.2.4. Phân loại IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng (Promiscuous Mode
IPS) và IPS trong luồng (In_line IPS).
1.2.4.1. IPS ngoài luồng
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu.
Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể
kiểm soát dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn
công. Với vị trí này, IPS có thể quản lý tường lửa, chỉ dẫn tường lửa chặn lại các
hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.


21

23

1.2.5.1. Phát hiện sự bất thường
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt
động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi
tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường
là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông
thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị
bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bình thường. Nhà
quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo
ra những bản mô tả sơ lược nhóm người dùng (user group profiles).
- Lợi ích của việc dùng Anomaly-Based IPS
+ Kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh
cảnh báo.
+ Tập tin dấu hiệu được cung cấp kèm theo với hệ thống IPS.
+ Kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo.
+ Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn
công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp.
+ Ưu điểm lớn nhất của phát hiện dựa trên mô tả sơ lược hay sự bất
thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay
những đợt tấn công đã được biết mô tả sơ lược có thể là động và có thể sử dụng
trí tuệ nhân tạo để xác định những hoạt động bình thường.
+ Bởi vì phát hiện dựa trên mô tả sơ lược không dựa trên những dấu
hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề
được biết trước đây miễn là nó chệch khỏi mô tả bình thường. Phát hiện dựa trên
mô tả sơ lược được sử dụng để phát hiện những phương pháp tấn công mới mà
phát hiện bằng dấu hiệu không phát hiện được.
- Hạn chế của việc dùng Anomaly-Based IPS:




+ Những tập tin dấu hiệu được tạo nên từ những hoạt động và phương
pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một
cuộc tấn công là rất cao.
+ Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu,
không phải những mẫu lưu lượng. Hệ thống IPS có thể được định dạng và có thể
bắt đầu bảo vệ mạng ngay lập tức.
+ Tập tin dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu
hành động nào phải được tương xứng cho một tín hiệu cảnh báo. Người quản trị
bảo mật có thể bật những dấu hiệu lên, sau đó thực hiện cuộc kiểm tra trên toàn
mạng và xem xem có cảnh báo nào không.
+ Chính vì phát hiện sử dụng sai dễ hiểu, bổ sung, kiểm tra nên nhà
quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ
thống IPS của họ.
- Những hạn chế của Signature-Based IPS:
+ Không có khả năng phát hiện những cuộc tấn công mới hay chưa
được biết.
+ Không có khả năng phát hiện những sự thay đổi của những cuộc tấn
công đã biết.
1.2.5.3. Kiểm tra các chính sách (Policy-Based detection)
Một Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự
vi phạm của một cấu hình chính sách xảy ra. Bởi vậy, một Policy-Based IPS
cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.
- Lợi ích của việc dùng Policy-Based IPS:
+ Người dùng có thể thiết lập chính sách cho từng thiết bị trong hệ
thống mạng.