Tải bản đầy đủ (.pdf) (77 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu phát triển dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.53 MB, 77 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

SANGKHOM SENGOULICHANH

NGHIÊN CỨU PHÁT TRIỂN DỊCH VỤ QUẢN LÝ CÁC HỆ
THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP

LUẬN VĂN THẠC SỸ HỆ THỐNG THÔNG TIN

Hà Nội - 2021


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

SANGKHOM SENGSUOLICHANH

NGHIÊN CỨU PHÁT TRIỂN DỊCH VỤ QUẢN LÝ CÁC HỆ
THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP

LUẬN VĂN THẠC SỸ HỆ THỐNG THƠNG TIN

Chun ngành: Hệ thống thơng tin

Người hướng dẫn luận văn:
PGS.TS. Nguyễn Ngọc Hóa

Hà Nội - 2021



LỜI CẢM ƠN

Em xin chân thành cảm ơn các thầy cô giáo trường Đại học Công Nghệ, Đại Học Quốc
Gia Hà Nội, đã tận tình hướng dẫn, giảng dạy trong suốt quá trình học tập, nghiên cứu tại
trường. Em xin gửi lời cảm ơn sâu sắc đến giảng viên PGS.TS Nguyễn Ngọc Hóa cùng tồn
thể q thầy cơ thuộc bộ mơn Hệ Thống Thơng Tin. Thầy, cơ đã tận tình hướng dẫn và
định hướng cho em hồn thành khóa luận này.
Mặc dù có nhiều cố gắng thực hiện đề tài luận văn một cách hồn chỉnh nhất. Song luận
văn cịn nhiều thiếu sót. Rất mong được sự góp ý của q thầy, cơ và các bạn để luận văn
được hồn chỉnh hơn.
Em xin chân thành cảm ơn!
Hà Nội, tháng 11 năm 2021
Sangkhom Sengsoulichanh

i


LỜI CAM ĐOAN

Em xin cam đoan các kết quả báo cáo đạt được trong luận văn này do em thực hiện dưới
sự hướng dẫn của PGS.TS Nguyễn Ngọc Hóa.
Tất cả các tham khảo từ những nghiên cứu liên quan đều được nêu nguồn gốc một cách
rõ ràng từ danh mục tài liệu tham khảo trong luận văn. Luận văn không sao chép tài liệu,
cơng trình nghiên cứu của người khác mà không chỉ rõ về mặt tài liệu tham khảo. Các kết
quả thực nghiệm của luận văn đều được tiến hành thực nghiệm và thống kê từ kết quả thực
tế.
Tác giả

Sangkhom Sengsoulichanh


ii


Mục lục
1 GIỚI THIỆU CHUNG

1

1.1

Động lực nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

1.2

Mục tiêu và nội dung nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . .

3

1.3

Tổ chức của luận văn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM
NHẬP MẠNG IDPS

5


2.1

Giới thiệu chung về xâm nhập, phát hiện và ngăn chặn xâm nhập . . . . . .

5

2.1.1

Giới thiệu chung về xâm nhập . . . . . . . . . . . . . . . . . . . . . .

5

2.1.2

Giới thiệu chung về phát hiện xâm nhập . . . . . . . . . . . . . . . .

12

2.1.3

Giới thiệu chung về hệ thống ngăn chặn xâm nhập . . . . . . . . . .

15

2.1.4

Giới thiệu chung về hệ thống phát hiện và ngăn chặn xâm nhập . . .

17


Kỹ thuật phát hiện xâm nhập dựa trên bất thường . . . . . . . . . . . . . .

18

2.2.1

Kỹ thuật phát hiện xâm nhập dựa trên thống kê . . . . . . . . . . . .

19

2.2.2

Kỹ thuật phát hiện xâm nhập dựa trên tri thức . . . . . . . . . . . .

19

2.2.3

Kỹ thuật phát hiện xâm nhập dựa trên học máy . . . . . . . . . . . .

20

2.3

Phát hiện xâm nhập dựa trên học sâu . . . . . . . . . . . . . . . . . . . . . .

23

2.4


Phần cứng của hệ thống phát hiện xâm nhập

. . . . . . . . . . . . . . . . .

26

2.5

Quản lý và cộng tác các hệ thống phát hiện xâm nhập . . . . . . . . . . . .

29

2.5.1

Hệ thống quản lý các hệ thống phát hiện và ngăn chặn xâm nhập . .

29

2.5.2

Mơ hình nhiều lớp phát hiện và ngăn chặn xâm nhập . . . . . . . . .

30

2.5.3

Mạng phát hiện xâm nhập cộng tác . . . . . . . . . . . . . . . . . . .

31


2.6

Một số thách thức đối với phát hiện và ngăn chăn xâm nhập . . . . . . . . .

32

2.7

Kết luận chương

36

2.2

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

GIẢI PHÁP QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN PHÒNG CHỐNG
XÂM NHẬP MẠNG VÀ MÁY CHỦ

37

3.1

Giới thiệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37


3.2

Giải pháp quản lý các hệ thống NetIPS và HostIPS . . . . . . . . . . . . . .

40

3.2.1

Kiến trúc hệ thống IPSManager

. . . . . . . . . . . . . . . . . . . .

40

3.2.2

Các phân hệ chức năng . . . . . . . . . . . . . . . . . . . . . . . . . .

42

iii


MỤC LỤC

iv

3.3

Phân tích, đánh giá yêu cầu cụ thể . . . . . . . . . . . . . . . . . . . . . . .


43

3.3.1

Yêu cầu phi chức năng . . . . . . . . . . . . . . . . . . . . . . . . . .

43

3.3.2

Yêu cầu chức năng . . . . . . . . . . . . . . . . . . . . . . . . . . . .

43

Thiết kế chi tiết . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

3.4.1

Xác định tác nhân và ca sử dụng . . . . . . . . . . . . . . . . . . . .

44

3.4.2

Biểu đồ ca sử dụng . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45


3.4.3

Biểu đồ tuần tự . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

49

3.4.4

Lược đồ dữ liệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

50

Kết chương 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

52

3.4

3.5

4 THỰC NGHIỆM

53

4.1

Xây dựng dịch vụ IPS Manager . . . . . . . . . . . . . . . . . . . . . . . . .

53


4.2

Môi trường phát triển và thử nghiệm . . . . . . . . . . . . . . . . . . . . . .

53

4.3

Kết quả xây dựng dịch vụ IPSManager . . . . . . . . . . . . . . . . . . . . .

54

4.3.1

Tập API phía back-end . . . . . . . . . . . . . . . . . . . . . . . . . .

54

4.3.2

Quản lý HostIPS và NetIPS . . . . . . . . . . . . . . . . . . . . . . .

58

4.3.3

Quản lý luật và mơ hình học máy . . . . . . . . . . . . . . . . . . .

60


4.3.4

Trực quan hoá dữ liệu thu thập được từ các HostIPS

. . . . . . . .

60

4.3.5

Trực quan hoá dữ liệu thu thập được từ các NetIPS . . . . . . . . .

62

4.3.6

Quản trị hệ thống . . . . . . . . . . . . . . . . . . . . . . . . . . . .

63

Kết chương 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

64

4.4

TÀI LIỆU THAM KHẢO

66



Danh sách hình vẽ
1.1

Mơ hình kiến trúc tổng thể giải pháp phát hiện và ngăn chặn xâm nhập . . .

2.1

Khung phân loại tấn công ATTT của C. Fung và R. Boutaba. Tên gọi các
kiểu tấn công cụ thể được in chữ thường và không nghiêng.

2

. . . . . . . . .

8

. . . . . . . . . . . . . . .

12

2.2

Khung hệ thống phát hiện xâm nhập tổng quát.

2.3

Một khung phân loại các hệ thống phát hiện xâm nhập.


. . . . . . . . . . .

13

2.4

Các thành phần của một hệ thống phát hiện xâm nhập mạng. . . . . . . . .

15

2.5

Kiến trúc mức cao sử dụng dịch vụ Tính tốn đám mây để giảm lỗi cảnh báo
sai từ IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

2.6

Tiếp cận phát hiện bất thường dựa trên học máy . . . . . . . . . . . . . . .

20

2.7

Mơ hình AB-TRAP xây dựng và đình kỳ cải tiến mô-đun phát hiện xâm nhập 22

2.8

Một khung phân loại phương pháp phát hiện xâm nhập dựa trên học sâu


2.9

Một kiến trúc IDS dựa trên học sâu

.

23

. . . . . . . . . . . . . . . . . . . . . .

24

2.10 Một sơ đồ khối nền tảng phần cứng cho phát hiện xâm nhập . . . . . . . . .

26

2.11 Kiến trúc cơ bản của Shunting: Thành phần Shunt kiểm tra tiêu đề của các
gói nhận được để xác định hành động phù hợp: forward (chuyển tiếp), drop
(bỏ đi), shunt (chuyển tới Cơng cụ phân tích). Thành phần Cơng cụ phân tích
trực tiếp cập nhật bộ đệm của Shunt để điều khiển quá trình xử lý sắp tới và
bỏ gói đã phân tích ngay lập tức ngăn chặn xâm nhập hoặc gửi lại chúng mỗi
khi kiểm tra an toàn [González07]. . . . . . . . . . . . . . . . . . . . . . . .

27

2.12 Sơ đồ khối phần cứng Shunt dựa trên NetFPGA (Virtex 2 Pro FPGA). Các
mục mờ được sửa đổi từ thiết kế tham chiếu NetFPGA [González07]. . . . .

28


2.13 Hệ thống quản lý phát hiện xâm nhập [Lichtenberg05] . . . . . . . . . . . .

29

2.14 Một ví dụ hệ thống bảo vệ nhiều lớp tường lửa, HostIPS và NetIPS [Fung13]

30

3.1

Mô hình chung của hệ thống IDS/IPS

. . . . . . . . . . . . . . . . . . . . .

37

3.2

Cấu trúc tập trung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

3.3

Cấu trúc đa tác nhân

39

3.4


Mơ hình kiến trúc hệ thống IPS Manager

3.5

Giải pháp quản lý và trực quan hoá dữ liệu cảnh báo xâm nhập tại IPSManager 41

3.6

Ca sử dụng hệ thống IPSManager với khách . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

v

. . . . . . . . . . . . . . . . . . .

40
47


DANH SÁCH HÌNH VẼ

vi

3.7

Ca sử dụng hệ thống IPS manager với người giám sát

. . . . . . . . . . . .


48

3.8

Ca sử dụng hệ thống IPS manager với người quản trị vùng . . . . . . . . . .

48

3.9

Ca sử dụng hệ thống IPS manager với người siêu quản trị

49

. . . . . . . . . .

3.10 Biểu đồ tuần tự minh hoạ một số chức năng quản trị hệ thống

. . . . . . .

50

. . . . . . . . . . . . . . .

51

3.12 Cấu trúc ánh xạ tài liệu để quản lý dữ liệu trạng thái và dữ liệu xâm nhập .

52


4.1

APIs quản lý người dùng theo cơ chế kiểm soát truy cập theo vai . . . . . .

55

4.2

APIs quản lý NetIPS và HostIPS . . . . . . . . . . . . . . . . . . . . . . . .

56

4.3

APIs điều khiển và cập nhật luật/mơ hình về NetIPS và HostIPS . . . . . .

57

4.4

APIs quản lý tập luật, dấu hiệu mã độc, mơ hình học máy . . . . . . . . . .

58

4.5

Danh sách dashboard sử dụng trong IPSManager . . . . . . . . . . . . . . .

58


4.6

Quản lý NetIPS và HostIPS trên mơ hình hiện trạng topo . . . . . . . . . .

59

4.7

Cập nhật luật về HostIPS/NetIPS

. . . . . . . . . . . . . . . . . . . . . . .

60

4.8

Quản lý luật và mơ hình học máy

. . . . . . . . . . . . . . . . . . . . . . .

60

4.9

Thông tin chung về các hệ thống HostIPS đang được quản lý bởi IPSManager 61

3.11 Lược đồ cơ sở dữ liệu của hệ thống IPSManager

4.10 Thông tin cụ thể về HostIPS


. . . . . . . . . . . . . . . . . . . . . . . . . .

61

4.11 Thông tin cảnh báo từ các HostIPS gửi về . . . . . . . . . . . . . . . . . . .

62

4.12 Giám sát nguy cơ xâm nhập từ mạng ngoài . . . . . . . . . . . . . . . . . .

62

4.13 Cảnh báo xâm nhập mạng thu thập từ NetIPS

. . . . . . . . . . . . . . . .

63

4.14 Quản lý người dùng theo cơ chế kiểm sốt truy cập theo vai trị RBAC . . .

63


Danh sách bảng
3.1

Danh mục vai trò người dùng trong hệ thống IPS Manager . . . . . . . . . .

45


3.2

Mối quan hệ giữa tác nhân và ca sử dụng . . . . . . . . . . . . . . . . . . . .

45

vii


Danh mục thuật ngữ viết tắt

IDS
NIDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

Network-Based

Hệ thống phát hiện xâm nhập

Intrusion

Detection System

mạng

Signature-Based NetworkSNIDS


Based Intrusion Detection
System
Anomaly-Based

ANIDS

Network-

Based Intrusion Detection
System

Hệ thống phát hiện xâm nhập
mạng dựa trên chữ ký
Hệ thống phát hiện xâm nhập
mạng dựa trên bất thường

Host Intrusion Prevention

Hệ thống ngăn ngừa xâm nhập

System

máy chủ

Network Intrusion Preven-

Hệ thống ngăn ngừa xâm nhập

tion System


mạng

MLP

Multi-layer Perceptron

Perceptron nhiều lớp

IPS

Intrusion Prevention

AE

Auto-Encoder

HostIPS
NetIPS

RBM
GAN
LSTM

Hệ thống ngăn ngừa xâm nhập
mạng
Bộ mã hoá tự động

Restricted Boltzmann Machine
Generative Adversarial Network

Long short time memory

viii

Máy hạn chế Boltzmann
Mạng lưới đối thủ chung
Bộ nhớ thời gian ngắn hạn


Chương 1
GIỚI THIỆU CHUNG
1.1

Động lực nghiên cứu

Vấn đề an toàn, an ninh mạng không mới nhưng cảng ngày trở nên quan trọng cùng với
sự phát triển theo chiều rộng và chiều sâu của xã hội thơng tin. Lấy ví dụ đơn giản như gần
đây rất nhiều vấn để các trang web, hệ thống mạng trọng nước và ngoài nước bị hacker tấn
công gây hậu quả đặc biệt nghiêm trọng. Hơn nữa các cuộc tấn cơng hiện nay càng ngày có
nhiều hình thức phức tạp và có thể đến từ nhiều hướng khác nhau. Trước tình hình đó các
hệ thống thơng tin cần phải có những chiến lược, những giải pháp phòng thủ theo chiều sâu
nhiều lớp.
Hệ thống phát hiện và phòng chống xâm nhập (Intrusion Detection and Prevention
System – IDPS) nhận được nhiều sự quan tâm của các nhóm nghiên cứu trên thế giới. Thực
vậy, hiện trong thư viện IEEE Xplore, tính đến tháng 11/2021, đã có 15.547 cơng trình cơng
bố, gồm 1.462 bài tạp chí, 13.550 bài báo hội thảo và một số sách, tạp chí, ..., liên quan
đến phát hiện xâm nhập. Số liệu tổng hợp từ Google Scholar cũng ghi nhận 40.400 kết quả
từ năm 2016 đến nay.Tuy nhiên, hầu hết các cơng trình đều tập trung nghiên cứu về phát
hiện và phòng chống xâm nhập mạng nội bộ (Network-based Intrusion Prevention System –
NetIPS). Riêng đối với phát hiện và phòng chống xâm nhập máy chủ (Host-based Intrusion

Prevention System – HostIPS) thường được viết dưới dạng phát minh sáng chế, cụ thể.
Banerjee và công sự đề xuất hệ thống HNIDS giám sát hàng đợi của ứng dụng, phát hiện
dấu hiệu bất thường trên cơ sở phân tích gói tin tại tầng giao vận [1]. Wright tăng cường khả
năng xác định nguy cơ mất an ninh mạng bằng việc phân tích hành vi khi người dùng tương
tác với phần mềm, hệ điều hành và các thành phần khác trong kiến trúc máy tính [2]. Tương
tự, tác giả cũng đề xuất kỹ thuật so khớp hành vi trong phát hiện mã độc [3]. Battistoni và
công sự đưa ra hệ thống Host-based IPS cho các phiên bản Windows 2000/XP/2003 [4]. Hiện
nay, phần lớn các cơ quan cấp Bộ, Tỉnh, Thành phố trực thuộc Trung ương đều sử dụng các
thiết bị, phần mềm IDPSphát hiện và phòng chống xâm nhập từ các hãng lớn ngoài nước,
chẳng hạn như của hãng Micro Trend (TippingPoint), Fire Eye, Checkpoint, Cisco...

1


CHƯƠNG 1. GIỚI THIỆU CHUNG

Về triển khai hệ thống phát hiện và ngăn chặn xâm nhập mạng, hiện nay một số Bộ,
ngành đã triển khai hệ thống phát hiện ngăn chặn xâm nhập mạng, có sử dụng các thiết bị
thế hệ mới như Văn phịng Chính phủ, Bộ Tài chính, Ngân hàng Nhà nước, Bộ Giao thông
vận tải,. . . Tuy nhiên, các thiết bị được trang bị tại các cơ quan cấp Bộ đều sử dụng các thiết
bị, phần mềm IDPS phát hiện và ngăn chặn xâm nhập từ các hãng lớn ngoài nước, chẳng
hạn như của hãng Trend Micro (TippingPoint), Fire Eye, Checkpoint, Cisco, . . . Chẳng hạn
như Kho bạc nhà nước, năm 2018 đã trang bị hệ thống phát hiện xâm nhập mạng của hãng
Trend Micro TippingPoint 8200TX với kinh phí đầu tư là 7.345.000.000 VND . Các sản
phẩm IDPS phục vụ quy mô lớn của các hãng lớn khác như Checkpoint, Cisco, Fortinet đều
cũng đều có giá thành rất cao (đều hơn 400.000USD) [12]. Hiện tại, trong nước cũng chưa
tổ chức, doanh nghiệp nào tập trung được nguồn lực cần thiết để thiết kế, chế tạo và xây
dựng được những sản phẩm NetIPS, HostIPS mà có thể triển khai được ở mức cơ quan cấp
Bộ.
Mơ hình giải pháp phát hiện và ngăn chặn xâm nhập trong các tổ chức của Chính phủ

điện tử Việt Nam được đề xuất trong khuôn khổ đề tài nghiên cứu cấp quốc gia, mã số
KC.01.28/16-20, được minh hoạ như Hình sau.

Hình 1.1: Mơ hình kiến trúc tổng thể giải pháp phát hiện và ngăn chặn xâm nhập
2


CHƯƠNG 1. GIỚI THIỆU CHUNG

Trong mơ hình này, thiết bị NetIPS có thể đảm nhiệm chức năng cả bảo vệ vịng ngồi
lẫn bảo vệ bên trong (do đã tích hợp kèm tường lửa mức mạng). Ở bên trong mạng nội bộ,
các NetIPS được triển khai để đảm bảo an toàn thơng tin cho cả mạng, cịn HostIPS đảm
nhiệm bảo vệ cho các máy chủ, kể các máy chủ dịch vụ công trực tuyến. IPS Manager được
đặt tại mạng quản trị trung tâm tại đơn vị đầu mối quản lý hạ tầng tính tốn và hạ tầng
mạng của cơ quan cấp Bộ với chức năng quản lý toàn bộ các NetIPS lẫn các HostIPS. Về cơ
bản, quản lý và cộng tác các hệ thống phát hiện và ngăn ngừa ở một tổ chức là rất cần thiết.
Đối với các cơ quan cấp Bộ, có thể có nhiều khu vực khác nhau phân bố theo vùng/miền,
theo vai trò chức năng nhiệm vụ. Vì thế, hạ tầng mạng cũng như hạ tầng tính toán của
cơ quan cấp Bộ thường phải tổ chức phân cấp. Chính vì thế, mỗi cơ quan cấp Bộ cần phải
trang bị nhiều NetIPS và HostIPS. Để quản lý được nhiều NetIPS và HostIPS, cách tiếp cận
của đề tài là quản lý tập trung toàn bộ các CSDL mẫu (chỉ dấus), tập luật, tập mơ hình
phục vụ phát hiện bất thường, . . . tại trung tâm được giao nhiệm vụ chức năng quản lý hạ
tầng của cơ quan cấp Bộ. Hệ thống thông tin đảm nhiệm chức năng quản lý toàn bộ các
CSDL nêu trên được gọi tắt là IPS Manager.

1.2

Mục tiêu và nội dung nghiên cứu

Từ thực trạng đó, bài tốn nghiên cứu của học viên để thực hiện luận văn tốt nghiệp

được xác lập cùng với nhóm nghiên cứu thực hiện đề tài xây dựng phương án và triển khai
hình thành dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập IPS Manager.
Dịch vụ này có nhiệm vụ quản lý tồn bộ các thiết bị phát hiện, phòng chống xâm nhập
mạng nội bộ NetIPS và phần mềm phát hiện, phòng chống xâm nhập máy chủ HostIPS.
Với mục tiêu đó, luận văn tập trung thực hiện những nội dung nghiên cứu chính sau:
• Khảo sát, đánh giá sơ lược về các hệ thống phát hiện và phịng chống xâm nhập mạng
IDPS.
• Ngun cứu, đặc tả yêu cầu và chức năng đối với dịch vụ IPS Manager quản lý toàn
bộ các thiết bị NetIPS và ứng dụng phịng chống xâm nhập máy chủ HostIPS.
• Xây dựng dịch vụ IPS Manager và tiến hành đánh giá kết quả.

1.3

Tổ chức của luận văn

Luận văn có bố cục như sau:
• Chương 1 giới thiệu chung, mục tiêu và các nội dung chính của luận văn.
• Chương 2 tóm lược tổng quan về hệ thống phát hiện và phòng chống xâm nhập mạng
IDPS.
3


CHƯƠNG 1. GIỚI THIỆU CHUNG

• Chương 3 trình bày giải pháp quản lý các hệ thống phát hiện xâm nhập mạng và máy
chủ; q trình phân tích và thiết kế của dịch vụ IPSManager cũng được trình bày ở
chương này.
• Chương 4 tổng hợp kết quả thực nghiệm xây dựng dịch vụ IPSManager và một số kết
quả thực tế thu được.
• Cuối cùng là phần Kết luận tóm lược lại các đóng góp chính của luận văn và một số

hướng phát triển trong tương lai.

4


Chương 2
TỔNG QUAN VỀ HỆ THỐNG
PHÁT HIỆN VÀ PHÒNG CHỐNG
XÂM NHẬP MẠNG IDPS
Trong chương này, chúng tơi sẽ trình bày kiến thức tổng quan về phát hiện và phòng
chống xâm nhập mạng. Một phần nội dung sau đây được tham khảo từ [1].

2.1

Giới thiệu chung về xâm nhập, phát hiện và ngăn
chặn xâm nhập

2.1.1

Giới thiệu chung về xâm nhập

Xây dựng khung phân loại tấn cơng An tồn thơng tin (tấn cơng mạng, máy tính và liên
quan) là một cơng việc phức tạp theo nhiều chiều như kiểu tấn cơng, đích tấn công, phương
pháp tấn công liên quan tới các mối đe dọa ATTT. Vì vậy, tồn tại nhiều khung phân loại
tấn cơng mạng và máy tính đã được đề xuất. Đề tài giới thiệu hai khung phân loại điển hình
là khung phân loại mối đe dọa của H. Hindy và cộng sự và khung phân loại tấn công của C.
Fung và R. Boutaba. Khung phân loại của H. Hindy và cộng sự [11] cung cấp năm loại đe
doa chính là đe dọa mạng, đe dọa máy chủ, đe dọa phần mềm, đe dọa vật lý và đe dọa liên
quan tới con người; mà từ các mối đe dọa này là nguồn phát sinh các cuộc tấn công ATTT.
Mối đe dọa mạng: Các mối đe dọa mạng được bắt đầu khi một luồng gói tin được gửi

qua mạng.
• Hai trong số các dạng đe dọa mạng phổ biến nhất là Từ chối Dịch vụ (Denial of Service:
DoS) và Từ chối Dịch vụ Phân tán (Distributed Denial of Service: DDoS), trong đó kẻ
tấn công làm ngập mạng với các yêu cầu khiến dịch vụ không phản hồi. Trong các cuộc
tấn công này, người dùng hợp pháp không thể truy cập các dịch vụ. DoS và DDoS có

5


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

thể được chia thành bốn loại bao gồm tấn công lũ lụt (flood attacks), tấn công khuếch
đại (amplification attacks), khai thác giao thức (protocol exploit), và các gói khơng
đúng định dạng (malformed packets). Chúng được xác định tương ứng thơng qua các
ví dụ tấn cơng. Tấn công Smurf (Smurf attacks) phụ thuộc vào việc tạo ra một lượng
lớn các yêu cầu ping. Gây tràn (Overflows) xảy ra khi một chương trình ghi nhiều byte
hơn mức cho phép. Điều này xảy ra khi kẻ tấn công gửi các gói lớn hơn 64KB (65536
byte được phép trong giao thức IP) và ngăn xếp không vệ sinh (sanitation) đầu vào
thích hợp. Tấn cơng ping of Death xảy ra khi các gói quá lớn đối với bộ định tuyến và
yêu cầu chia nhỏ. Cuộc tấn công Teardrop diễn ra khi kẻ tấn cơng thiết lập độ lệch
khơng chính xác. Cuối cùng, cuộc tấn công gây lụt SYN (SYN flood ) xảy ra khi máy
chủ cấp phát bộ nhớ cho một số lượng lớn các gói TCP SYN.
• Giả mạo gói tin (packet forging) là một dạng tấn công mạng khác. Giả mạo hoặc chèn
gói là hành động mà kẻ tấn cơng tạo ra các gói trơng giống như lưu lượng mạng bình
thường. Các gói này có thể được sử dụng để thực hiện các hành động trái phép và lấy
cắp dữ liệu nhạy cảm như: thông tin đăng nhập, dữ liệu cá nhân, chi tiết thẻ tín dụng,
số thẻ căn cước hay an sinh xã hội (Social Security Numbers: SSN), v.v.
• Khi kẻ tấn cơng theo dõi hoặc chặn thơng tin liên lạc giữa hai hoặc nhiều thực thể
một cách thụ động và bắt đầu để kiểm sốt thơng tin liên lạc, cuộc tấn công này được

gọi là cuộc tấn cơng “con người đứng giữa” (Man in the Middle).
• Khơng giống như cuộc tấn công “con người đứng giữa”, cuộc tấn cơng “con người trong
trình duyệt” (Man In The Browser) chặn trình duyệt để thay đổi hoặc thêm các trường
vào trang web yêu cầu người dùng nhập dữ liệu bí mật.
• Mạo danh (impersonation) hoặc giả mạo (pretending) như một người dùng có thể có
các hình thức khác nhau. Kẻ tấn cơng có thể mạo danh người dùng để đạt được mức độ
bảo mật cao hơn và truy cập vào dữ liệu trái phép hoặc sử dụng nhân bản (cloning).
Nhân bản là một cuộc tấn công phổ biến trong mạng xã hội nhằm mạo danh một
cá nhân để tận dụng thông tin. Điểm truy cập giả mạo (Rogue access points) là các
dạng mạo danh khác trong mạng không dây. Trong một cuộc tấn công giả mạo IP (IP
spoofing attack), kẻ tấn công tiến hành giả mạo địa chỉ IP và gửi các gói tin mạo danh
một máy chủ lưu trữ hợp pháp. Giả mạo DNS (DNS spoofing) - còn được gọi là nhiễm
độc bộ nhớ cache DNS (DNS cache poisoning) là một dạng giả mạo khác. Kẻ tấn công
chuyển hướng các gói tin bằng cách đầu độc DNS. Giả mạo ARP (ARP spoofing) được
sử dụng để thực hiện các cuộc tấn công như “Con người đứng giữa”, nhằm tách các địa
chỉ IP và MAC hợp pháp trong bảng ARP của nạn nhân.
• Quét/liệt kê (scanning/enumeration) là một bước thiết yếu để bắt đầu các cuộc tấn
cơng. Trong q trình qt, kẻ tấn cơng bắt đầu tìm kiếm thơng tin trên mạng như:
6


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

các nút đang hoạt động, hệ điều hành đang chạy, phiên bản phần mềm, v.v. Việc quét
có nhiều dạng, sử dụng các giao thức như TCP hoặc UDP. Trong gây lụt MAC (media
access control), kẻ tấn công nhắm mục tiêu vào các thiết bị chuyển mạch mạng và kết
quả là các gói được chuyển hướng đến các cổng vật lý sai, trong khi tấn công nhảy
VLAN (VLAN hopping) có hai hình thức giả mạo chuyển mạch (switch spoofing) hoặc
gắn thẻ kép (double tagging).

Mối đe dọa máy chủ: Các cuộc tấn công máy chủ nhắm mục tiêu vào các máy chủ
hoặc hệ thống cụ thể bằng cách chạy phần mềm độc hại (Malicious Software hoặc ngắn gọn
là malware)) để xâm nhập hoặc làm hỏng các chức năng của hệ thống. Hầu hết các cuộc
tấn công máy chủ được phân loại theo danh mục phần mềm độc hại. Chúng bao gồm vi-rút
(virus) máy tính, sâu máy tính (worms), phần mềm ngựa Troa (Trojans), phần mềm cửa sau
(backdoors), rô-bôt mạng (botnets), phần mềm gián điệp (spyware), phần mềm quảng cáo
(adware), ransomware. Hầu hết các phần mềm độc hại hoạt động một cách âm thầm trong
chế độ ẩn mình mà không cần thông báo sự xuất hiện hoặc hiện diện của chúng, đặc biệt là
phần mềm ngựa Troa, phần mềm cửa sau, phần mềm gián điệp, ransomware. Vi-rút được
biết là ảnh hưởng đến các chương trình và tệp khi được chia sẻ với những người dùng khác
trên mạng, trong khi sâu được biết là tự sao chép và ảnh hưởng đến nhiều hệ thống. Phần
mềm quảng cáo được biết đến để hiển thị quảng cáo cho người dùng khi lướt Internet hoặc
cài đặt phần mềm. Mặc dù phần mềm quảng cáo ít có khả năng chạy mã độc hại, nhưng nó
có thể ảnh hưởng đến hiệu suất của hệ thống. Phần mềm gián điệp thu thập thông tin như
tài liệu, cookie của người dùng, lịch sử duyệt web, email,. . . hoặc giám sát và theo dõi các
hành động của người dùng. Ngựa Troa thường trông giống như các ứng dụng đáng tin cậy,
nhưng cho phép kẻ tấn công kiểm soát thiết bị. Phần mềm độc hại ngụy trang (camouflage
malware) phát triển đạt đến các kỹ thuật đa hình và biến hình. Ví dụ, phần mềm độc hại
biến hình có thể sử dụng nhiều kỹ thuật, chẳng hạn như thay thế hoặc hoán vị lệnh, chèn
rác, thay thế biến và thay đổi luồng điều khiển. Cuối cùng, ransomware là một loại phần
mềm độc hại, khi mà hệ thống được giữ dưới sự kiểm sốt của kẻ tấn cơng - hoặc một thực
thể thứ ba - bằng cách mã hóa các tệp cho đến khi người dùng/tổ chức trả tiền chuộc.
Mối đe dọa phần mềm: Chèn mã (code injection) có thể bao gồm SQL Injection đặt
truy vấn tới cơ sở dữ liệu, dẫn đến thu được dữ liệu bí mật hoặc xóa dữ liệu bằng cách bỏ
cột, hàng hoặc bảng. Chèn mã trang web (Cross-site scripting: XSS) được sử dụng để chạy
mã độc hại nhằm lấy cắp cookie hoặc thông tin đăng nhập. XSS có ba loại chính. Với XSS
liên tục/được lưu trữ (persistent/stored XSS), một tập lệnh được lưu vào cơ sở dữ liệu và
được thực thi mỗi khi trang được tải. Với XSS phản xạ (Reflected XSS), một tập lệnh được
gửi đến máy chủ như một phần của yêu cầu HTTP. XSS dựa trên DOM (DOM-based XSS)
được coi là một loại XSS nâng cao. Kẻ tấn công thay đổi các giá trị trong Mơ hình Đối

tượng Tài liệu (Document Object Model: DOM), ví dụ như vị trí tài liệu, URL tài liệu, v.v.
XSS dựa trên DOM rất khó phát hiện vì tập lệnh khơng bao giờ được chuyển đến máy chủ.
7


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

Driveby hoặc tải xuống (chiếm tới 48% tổng số cuộc tấn công dựa trên web vào năm 2017,
được coi là một trong những mối đe dọa chính vào năm 2019) là một mối đe dọa phần mềm
khác mà người dùng không cần thực hiện hành động nào, tuy nhiên, mã độc tự động được
tải xuống. Lấy dấu vân tay (fingerprinting) và định cấu hình sai (misconfiguration) cũng là
những dạng đe dọa phần mềm. Chứng chỉ máy chủ giả mạo (fake server certificate) đánh
lừa trình duyệt/người dùng nghĩ rằng kết nối là an tồn. Điều này có thể dẫn đến các trang
web lừa đảo trông hợp pháp. Hơn nữa, chúng có thể được sử dụng như một hạt giống để
thực hiện các cuộc tấn công khác như Man-in-theMiddle.
Mối đe dọa vật lý: Các cuộc tấn công vật lý là kết quả của một nỗ lực ủ trên phần
cứng mạng (cạnh hoặc các thiết bị khác) hoặc cấu hình của nó. Điều này có thể bao gồm việc
thay đổi cấu hình (changing configurations) và giới thiệu cửa sau (introducing backdoors)
như The Evil Maid.
Mối đe dọa liên quan tới con người: Cuộc tấn công dựa trên hành động của con
người bao gồm hóa trang người dùng (user masquerade). Lừa đảo (Phishing) là một hình
thức tấn cơng khác, trong đó kẻ tấn công sử dụng email hoặc các dịch vụ nhắn tin điện tử
khác để lấy thông tin xác thực hoặc dữ liệu bí mật. Khi người dùng cố gắng đạt được các
đặc quyền cao hơn, nó được coi là một cuộc tấn công như User to Root và Remote to Local
R2L. Tấn công từ chối (repudiation attack) làm cho người dùng bị từ chối một hành động.
Tấn công Chiếm quyền điều khiển (session hijacking) hoặc Đánh hơi phiên (sniffing) giúp kẻ
tấn công giành được quyền truy cập trong một phiên hoạt động để truy cập cookie và mã
thơng báo.


Hình 2.1: Khung phân loại tấn công ATTT của C. Fung và R. Boutaba. Tên gọi các kiểu
tấn công cụ thể được in chữ thường và không nghiêng.
Khung phân loại tấn công của C. Fung và R. Boutaba 2.1 chia các loại tấn công ATTT
theo ba chiều: kiểu phần mềm độc hại, đích tấn cơng và phương pháp tấn cơng. Các kiểu
tấn cơng trên được giới thiệu tóm tắt sau đây:
Phần mềm độc hại: Sử dụng phần mềm độc hại (Malicious Software hoặc ngắn gọn là
8


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

malware) là phương thức thuộc diện điên hình nhất của tội phạm máy tính. Các kiêu phần
mềm độc hại điên hình là vi-rút máy tính (virus), sâu máy tính (worms), ngựa Troa máy
tính (Trojans, bao gồm phần mềm cửa sau: backdoors), Rootkit, rô-bôt mạng (botnets),
phần mềm gián điệp (spyware), phần mềm quảng cáo (adware). Hầu hết các phần mềm độc
hại hoạt động một cách âm thầm trong chế độ ẩn mình mà khơng cần thơng báo sự xuất
hiện hoặc hiện diện của chúng, đặc biệt là phần mềm ngựa Troa, phần mềm cửa sau và phần
mềm gián điệp. Vi-rút máy tính là kiểu phần mềm độc hại cơ bản nhất, tự gắn mình vào
một tập tin thi hành được và tập tin này được gọi là “vật mang” vi-rút. Khi chương trình vật
mang được kích hoạt, thì ở bước đầu tiên, vi-rut được kích hoạt, tự sao chép và lây nhiễm
sang các tập tin cung dạng với vật mang, và sau đó mới thực hiện chương trình vật mang.
Phần mềm ngựa Troa là một chương trình độc hại được nhúng trong một tiện ích (một ứng
dụng/một cơng cụ/một trị chơi) cung cấp một lợi ích cho người sử dụng. Khác với vi-rut
máy tính, phần mềm ngựa Troa khơng có khả năng tự nhân bản (băng cách lây lan sang các
chương trình khác). Phần mềm ngựa Troa có hai dạng là dạng tồn bộ và dạng bộ phận.
Dạng toàn bộ chứa toàn bộ các chức năng vừa cung cấp tiện ích cho người dùng vừa thực
hiện chức năng xâm nhập hệ thống máy tính nạn nhân và cung cấp thông tin tài nguyên
cho kẻ tấn công. Phần mềm ngựa Troa dạng bộ phận bao gồm hai phần là mơ-đun máy chủ
(trên máy tính nạn nhân) và mơ-đun máy khách (trên máy tính của kẻ tấn cơng). Mơ-đun

máy chủ được nhúng trong một tiện ích như đã đề cập. Khi người sử dụng tải về hoăc chạy
tiện ích đó, mơ-đun máy chủ cũng được tải về máy nạn nhân. Khi đã được cài đặt máy tính
tính nạn nhân, mơ-đun máy chủ bí mật cho phép kẻ tấn cơng truy cập vào toàn bộ hoặc một
phần tài nguyên (phần cứng và phần mềm) của máy tính nạn nhân. Kẻ tấn công sử dụng
mô-đun máy khách kết nối với mô-đun máy chủ để truy cập vào tài nguyên của máy nạn
nhân. Rootkit là loại phần mềm độc hại khó bị phát hiện nhất, được thiết kế để che giấu
sự tồn tại của các quy trình hoặc chương trình nhất định khỏi các phương pháp phát hiện
thông thường và cho phép tiếp tục truy cập đặc quyền vào máy tính. Phần mềm cửa sau là
phần mềm độc hại được cài đặt trên một hệ thống với mục đích nhận được quyền truy cập
vào hệ thống sau khi được cài đặt thông qua một phần mềm ngựa Troa. Phần mềm cửa sau
thường hoạt động theo chế độ lén lút và được kẻ tấn cơng kích hoạt dựa trên ý định của họ.
Sâu máy tính là loại phần mềm độc hại tự nhân bản để lây lan hoặc tự phát tán trên bản
thân chúng mà không yêu cầu một vật mang riêng khác. Chúng tự nhân bản và lan truyền
ra ngoài mạng máy tính, lây nhiễm sang các mạng khác và các hệ thống khác, do đó tạo ra
một sức tàn phá hoặc thiệt hại rất lớn. Rơ-bốt mạng (cịn được xếp vào loại tấn cơng có tổ
chức) là một mạng phần mềm “thây ma” (zombie) được kẻ tấn công gây dựng và được dùng
để tấn công các hệ thống khác. Chúng được dùng để khởi động tấn công như từ chối dịch vụ
hoặc phân tán việc từ chối dịch vụ, v.v. tới các hệ thống khác. Các cuộc tấn công này được
tiến hành bằng việc tổng hợp các hệ thống bị nhiễm bệnh như là một mạng thây ma nhằm
làm cho tác động đó phù hợp với quy mơ cần thiết. Từ “gián điệp” trong tên gọi của phần
mềm gián điệp chỉ rõ ý định và hành vi của chúng là gián điệp do thám. Chúng do thám
9


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP
MẠNG IDPS

trong hệ thống máy tính để có được thơng tin liên quan đến một người hoặc một tổ chức,
mà thơng tin đó được sử dụng về sau cho mục đích độc hại. Chúng dị theo vết hay giám sát
các hoạt động của các chương trình khác. Các thông tin thu thập được, hoặc bị lạm dụng

hoặc được chuyển giao cho các bên quan tâm khác. Phần mềm quảng cáo là một ứng dụng
phần mềm điển hình và cũng được khai thác để trở thành một phần mềm độc hại. Mục đích
của các chương trình phần mềm này là tạo ra doanh thu cho chủ sở hữu trang web, bù đắp
chi phí tạo ra ứng dụng phần mềm đó. Hình thức quảng cáo rất đa dạng như dịng thơng
điệp xun qua các bộ phận trên trang web, hoặc thơng qua một thanh trên màn hình. Các
quảng cáo này hoặc rất thú vị và bắt mắt hoặc là không mong muốn. Tuy nhiên, mã nền
(underlying code) được chứa trong quảng cáo theo dõi hành vi cá nhân của người sử dụng
và chuyển các thông tin thu nhận được cho các bên liên quan thứ ba.
Lỗ hổng phần mềm: là một điểm yếu (lỗi) trong chương trình máy tính có thể bị kẻ
tấn cơng khai thác và sử dụng để truy cập trái phép hoặc làm giảm hiệu suất dịch vụ. Có
hàng nghìn lỗ hổng phần mềm được phát hiện và ghi lại mỗi năm trong cơ sở dữ liệu về lỗ
hổng bảo mật. Lỗ hổng có thể khai thác là sự kết hợp của ba yếu tố: lỗ hổng hệ thống, quyền
truy cập của kẻ tấn công vào lỗ hổng và khả năng khai thác lỗ hổng của kẻ tấn công. Để
khai thác một lỗ hổng, kẻ tấn cơng phải có ít nhất một cơng cụ hoặc kỹ thuật áp dụng cho
phép hắn kết nối với điểm yếu của hệ thống. Một lỗ hổng chưa được xác định hoặc mới được
phát hiện và chưa được vá bởi các nhà phát triển hệ thống được gọi là lỗ hổng zero-day. Các
cuộc tấn công nhắm vào lỗ hổng zero-day được gọi là cuộc tấn công zero-day. Các cuộc tấn
công Zero-day xảy ra trong khoảng thời gian dễ bị tấn công tồn tại trong khoảng thời gian
lỗ hổng bảo mật được những kẻ tấn công biết đến và khi các nhà phát triển phần mềm bắt
đầu vá và xuất bản biện pháp đối phó.
Tấn cơng từ chối dịch vụ (Denial-of-service: DoS): là loại tấn công mạng với ý
định làm cho một máy hoặc dịch vụ mạng không khả dụng cho người dùng dự định của
nó. Mặc dù có nhiều kỹ thuật tấn công, động cơ và mục tiêu tấn công DoS, nhưng hầu
hết trường hợp là nỗ lực làm gián đoạn hoặc tạm dừng các dịch vụ của máy chủ Internet,
chẳng hạn như các dịch vụ ngân hàng. Tấn công từ chối dịch vụ phân tán (Distributed DoS:
DDoS) xảy ra khi nhiều máy tính khởi chạy một cuộc tấn cơng DoS nhằm vào một máy chủ
Internet nạn nhân và thường là dưới sự kiểm sốt của cùng một kẻ tấn cơng. Các máy tính
của kẻ tấn cơng thường là các nút bị xâm nhập từ phần mềm độc hại rô-bốt mạng (botnet).
Chúng yêu cầu nạn nhân đáp ứng mức cao về lưu lượng truy cập hoặc yêu cầu dịch vụ, khi
đó nạn nhân bị quá tải với các kết nối từ DoS vàcác kết nối mới khơng thể được chấp nhận.

Có hai loại tấn công DoS: tấn công hệ điều hành (OS) hướng tới lỗ hổng trong hệ điều hành
và tấn công mạng máy chủ nạn nhân bởi một lượng quá lớn các yêu cầu liên lạc bên ngoài
hoặc lượng lưu lượng truy cập, do đó nạn nhân khơng thể phản hồi các yêu cầu hợp pháp
hoặc phản hồi quá chậm đến mức không thể chấp nhận được.
Tấn công dựa trên web: là một kiểu tấn công nhằm vào người dùng Internet và các
dịch vụ Web. Các trường hợp tấn công dựa trên Web điển hình là Chèn mã độc vào mã SQL
10


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

(SQL-injection) và Chèn mã độc vào trang web tin cậy (Cross-site-scripting: XSS). Chèn mã
độc vào mã SQL khai thác lỗ hổng bảo mật lệnh, được phát sinh khi dữ liệu không đáng
tin cậy được chèn với mục đích xấu vào một truy vấn hoặc lệnh tới một dịch vụ Web. Tấn
công chèn mã độc vào trang web tin cậy XSS lợi dụng các lỗ hổng bảo mật được tìm thấy
trong các ứng dụng Web, chẳng hạn như trình duyệt Web. Nó cho phép những kẻ tấn cơng
đưa tập lệnh phía máy khách vào các trang Web và lấy dữ liệu phiên của người dùng. Kẻ
tấn công có thể sử dụng lỗ hổng tập lệnh xuyên trang web để vượt qua các biện pháp kiểm
soát truy cập, chẳng hạn như chính sách bảo mật nguồn gốc giống nhau.
Tấn công DNS (hoặc giả mạo DNS): là một cuộc tấn công mạng nhắm mục tiêu
vào cơ sở dữ liệu bộ nhớ cache của máy chủ Hệ thống tên miền (DNS), khiến máy chủ định
danh trả về địa chỉ IP khơng chính xác và do đó chuyển hướng lưu lượng truy cập đến một
máy tính khác (thường là của kẻ tấn công). Kỹ thuật tấn công này được sử dụng để hướng
người dùng của một trang web đến một trang web khác mà kẻ tấn công lựa chọn và như
vậy người dùng có máy tính tham chiếu đến máy chủ DNS bị nhiễm độc bị lừa chấp nhận
nội dung đến từ một máy chủ khơng xác thực và vơ tình tải xuống nội dung độc hại. Theo
một kiểu tấn công trên đây, kẻ tấn công lại sử dụng nhiều dạng thức khác nhau, chẳng hạn,
CICDDoS2019 đưa ra một khung 13 loại tấn công từ chối dịch vụ phân tán DDOS , trong
khi một vài khung phân loại DDoS khác cung cấp một danh sách hàng chục loại tấn cơng

DDoS. Ngồi ra, kẻ tấn cơng cịn có thể sử dụng kỹ nghệ xã hội (social engineering hay “no
tech hacking”) là “nghệ thuật” khai thác hành vi con người để phá vỡ hệ thống an ninh mà
người tham dự (hoặc nạn nhân) không nhận biết được họ đã bị (tội phạm) dẫn dắt. Các kiểu
“nghệ thuật” kỹ nghệ xã hội điển hình là thu thập thơng tin, khêu gợi (Elicitation), đóng giả
(Pretexting), gian trá thông minh (Mind Tricks), tạo ảnh hưởng. Rất nhiều kỹ thuật được
tiến hành hỗ trợ các “nghệ thuật” kỹ thuật xã hội, chẳng hạn sử dụng Basket hoặc Dradis
từ nguồn tiềm năng cung cấp thông tin khá phong phú cho thu thập thông tin. Tấn công
dựa trên kỹ nghệ xã hội không thuộc phạm vi nghiên cứu của đề tài này. Kẻ tấn cơng cịn
sử dụng các kỹ thuật “lẩn tránh” (evasion) các hệ thống phát hiện xâm nhập như:
• Phân mảnh (fragmentation): Chia gói độc hại thành các mảnh con sau đó được nút
đich ghép lại trước tầng IP để chuyển tiếp nó tới tầng ứng dụng.
• Gây lụt (flooding): Thực hiện tấn công áp đảo thành phần phát hiện xâm nhập để gây
lỗi cho cơ chế điều khiển và che giấu hoạt động tấn cơng.
• Xáo trộn mã (obfuscation): Làm thông điệp trở nên mập mờ và khó hiểu thơng qua
khai thác tính đa hình của mã hóa ký tự theo chuẩn Unicode/TF-8.
• Mã hóa (encryption): Khai thác thuộc tính bảo mật làm cho việc kiểm tra lưu lượng
khó phát hiện được xâm nhập.

11


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP
MẠNG IDPS

2.1.2

Giới thiệu chung về phát hiện xâm nhập

Hệ thống phát hiện xâm nhập (intrusion detection system: IDS), hệ thống ngăn chặn
xâm nhập (intrusion prevention system: IPS) và tích hợp của chúng, hệ thống phát hiện và

ngăn chặn xâm nhập, là các công cụ hữu hiệu để đối phó với đe dọa xâm nhập. Mục con
này giới thiệu về phát hiện xâm nhập, mục con tiếp theo giới thiệu về ngăn chặn xâm nhập.

Hình 2.2: Khung hệ thống phát hiện xâm nhập tổng quát.
Hệ thống phát hiện xâm nhập có chức năng giám sát các sự kiện của hệ điều hành, lưu
lượng mạng hoặc trạng thái hệ thống tệp, để tìm ra bằng chứng về sự xuất hiện của cuộc
tấn công và thông báo các hành động độc hại cho quản trị viên ATTT. Hình 2.2 cho một
khung hệ thống phát hiện xâm nhập tổng quát [12]. Khung hệ thống phát hiện xâm nhập
tổng quát bao gồm các hộp (thành phần) thuộc vào bốn kiểu hộp là hộp E (E-box), hộp D
(D-box), hộp A (A-box) và hộp R (R-box) với vai trị như sau:
• Hộp E (Hộp sự kiện: Event-box) chứa các phần tử cảm biến giám sát hệ thống đích,
từ đó thu nhận được các sự kiện thông tin để gửi tới các khối khác phân tích. Một hệ
thống phát hiện xâm nhập có thể có nhiều hộp E.
• Hộp D (Hộp CSDL: Database-box) chứa các CSDL lưu trữ dữ liệu từ các hộp E để
cung cấp cho các hộp A và hộp R xử lý. Một hệ thống phát hiện xâm nhập có thể có
nhiều hộp D song để đảm bảo một hệ thống CSDL tồn cục nhất qn thì chỉ nên có
một hộp D.
• Hộp A (Hộp phân tích: Analysis-box) chứa các mơ-đun xử lý phân tích sự kiện và phát
hiện hành vi tấn công tiềm năng và tạo ra một cảnh báo tới hộp R. Một hệ thống phát
hiện xâm nhập có thể có nhiều hộp A.
12


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP
MẠNG IDPS

• Hộp R (Hộp phản hồi: Response-box) nhận các ảnh báo từ các hộp A, đối chiếu với
dữ liệu trong các hộp D để đưa ra một phản hồi phù hợp tới người quản trị hệ thống.
Các hệ thống phát hiện xâm nhập được phân loại thành ba nhóm chính dựa trên phương
pháp phát hiện, nguồn triển khai phát hiện và kiểu phản ứng khi phát hiện xâm nhập như

thể hiện trong Hình 2.3 với sự bổ sung phương pháp lai phát hiện xâm nhập và hệ thống
phát hiện xâm nhập di động WIDS của nhóm thực hiện đề tài.

Hình 2.3: Một khung phân loại các hệ thống phát hiện xâm nhập.
Sau đây là một mô tả khái quát về các thành phần phổ biến trong khung phân loại khái
quát trên đây.
Phương pháp phát hiện: IDS sử dụng ba phương pháp phát hiện xâm nhập (về phổ
biến, các phương pháp này được triển khai trong các bộ cơng cụ phân tích) là:
• Phát hiện dựa trên chỉ dấu hay dấu hiệu (Signature-based intrusion detection systems,
còn được gọi là phát hiện lạm dụng (Misuse detection) dựa trên việc đối sánh chỉ
dấu/mẫu hiện thời của hệ thống được giám sát với chỉ dấu/mẫu về cuộc tấn công đã
biết được lưu trong một CSDL chỉ dấu xâm nhập. Khi một chỉ dấu đối tượng giám sát
(một gói hoặc một xâu gói) trùng khớp với một chỉ dấu xâm nhập (có thể dưới dạng
một luật) trong cơ sở dữ liệu chỉ dấu xâm nhập. Một số phương pháp như máy trạng
thái hữu hạn (Finite state machine: FSM), ngôn ngữ mô tả (Description Language),
điều kiện ngữ nghĩa được sử dụng để tạo các chỉ dấu xâm nhập. Trong một số trường
hợp, các kỹ thuật dựa trên học máy cũng được sử dụng. Ngoài ra, các tổ chức cung
cấp chỉ dấu tấn công tiến hành các cách thức đa dạng thu thập các mẫu tấn công từ
nhiều nguồn để xây dựng CSDL chỉ dấu tấn cơng.
• Phát hiện dựa trên sự bất thường (anomaly-based detection), tập trung vào phát hiện
sai lệch với hành vi chuẩn và đưa ra cảnh báo trong trường hợp sai lệch xuất hiện.
13


CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP
MẠNG IDPS

Thay vì sử dụng CSDL chỉ dấu bất thường, phương pháp này trước hết sử dụng các
CSDL dữ liệu gói (xâm nhập, khơng xâm nhập) để xây dựng một mơ hình về hành
vi bất thường (anomal) dựa trên các kỹ thuật thống kê, dựa trên tri thức và dựa trên

học máy, và sau đó, sử dụng mơ hình để phát hiện xâm nhập. Các kỹ thuật phát hiện
dựa trên thống kê, dựa trên tri thức và dựa trên học máy được trình bày chi tiết hơn
ở mục tiếp theo.
• Phát hiện lai (hybrid detection) kết hợp cả phát hiện sử dụng chỉ dấu và phát hiện
dựa trên bất thường. Ngồi ra, phát hiện dựa trên chính sách (policy-based detection)
cũng được sử dụng, theo đó hệ thống IDS trước tiên yêu cầu quản trị viên thực hiện
các chính sách bảo mật - khi xảy ra sự kiện phá vỡ chính sách bảo mật đã xác định,
một cảnh báo sẽ được gửi đến quản trị viên hệ thống.
Các hệ thống phát hiện xâm nhập theo vị trí: Khung phân loại hệ thống phát
hiện xâm nhập cho thấy về vị trí đặt hệ thống thì có bốn loại hệ thống: hệ thống phát hiện
xâm nhập mạng (Nestwork-Based Intrusion Detection Systems, được viết tắt là NetIDS hoặc
NIDS), hệ thống phát hiện xâm nhập máy chủ (Host-Based Intrusion Detection Systems,
được viết tắt là HostIDS hoặc HIDS), hệ thống lai phát hiện xâm nhập (cả trên máy chủ,
cả trên mạng) và hệ thống phát hiện xâm nhập thiết bị di động. Dưới đây giới thiệu khái
quát về hệ thống phát hiện xâm nhập điển hình là hệ thống phát hiện xâm nhập máy chủ
HostIDS và hệ thống phát hiện xâm nhập mạng NetIDS. Các chương sau sẽ giới thiệu chi
tiết về các hệ thống này được triển khai trong đề tài. Hệ thống phát hiện xâm nhập dựa trên
máy chủ HostIDS giám sát hành vi hoặc trạng thái động của một máy tính. Nó tham khảo
các tệp phân tích nhật ký hoặc dữ liệu từ các cơng cụ kiểm tốn trong máy chủ để phát
hiện và đánh giá những thay đổi trong hệ thống tệp, kiểm soát truy cập của người dùng,
hành vi của các tiến trình hệ thống, việc sử dụng tài ngun, v.v.. Ngồi ra, HostIDS có
thể tiến hành kiểm tra đơn giản và ngắn gọn các gói đến từ mạng được kết nối tới máy chủ
này. HostIDS bao gồm chức năng một hệ thống ghi (record systems) ghi thông tin từ mọi
máy chủ (tệp, Web, thư, dịch vụ tên miền, đăng nhập, hội thoại) trên máy tính đó và dùng
thơng tin đó như các mẫu chuẩn. Nhiều HostIDS cịn có chức năng băm hệ thống tệp, giá
trị băm các tệp là rất quan trọng để xác minh mọi thay đổi bất thường trong hệ thống tệp.

14



CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP
MẠNG IDPS

Hình 2.4: Các thành phần của một hệ thống phát hiện xâm nhập mạng.
Hệ thống phát hiện xâm nhập dựa trên máy chủ NetIDS giám sát dữ liệu được thu thập
từ phân đoạn mạng của chính nó hoặc từ nhiều máy chủ mạng. Về cơ bản, NetIDS bao gồm
ba thành phần: một bộ thu thập dữ liệu, một bộ quản lý và một mô-đun truyền thông chịu
trách nhiệm truyền và nhận dữ liệu và kết quả phân tích. Hình 2.4 cho một minh họa về các
thành phần của một hệ thống phát hiện xâm nhập mạng (Bộ thu thập giao vận, Cơng cụ
phân tích, Cơ sở dữ liệu chỉ dấu, Giao diện người sử dụng và Kết xuất cảnh báo) và hoạt
động chính của mỗi thành phần.

2.1.3

Giới thiệu chung về hệ thống ngăn chặn xâm nhập

Hệ thống ngăn chặn xâm nhập IPS là một công cụ phòng ngừa mối đe dọa và an ninh
mạng . Ý tưởng đằng sau việc ngăn chặn xâm nhập là tạo ra một cách tiếp cận phòng ngừa
an ninh mạng để các mối đe dọa tiềm tàng có thể được xác định và ứng phó nhanh chóng.
Do đó, hệ thống ngăn chặn xâm nhập được sử dụng để kiểm tra các luồng lưu lượng mạng
phát hiện phần mềm độc hại và ngăn chặn việc khai thác các lỗ hổng. Thông thường, hệ
thống IPS trước tiên sử dụng thành phần IDS để phát hiện xâm nhập, sau đó, tiến hành
các phản ứng ngăn chặn xâm nhập.
Phản ứng chung sau khi phát hiện xâm nhập, hệ thống IDS thực hiện một thông báo
tới người quản trị ATTT. Một cách khái quát, các kiểu phản ứng ngăn chặn xâm nhập điển
hình là:
• Chấm dứt phiên TCP đã bị khai thác và chặn địa chỉ IP nguồn hoặc tài khoản người
dùng vi phạm không thể truy cập vào bất kỳ ứng dụng, máy chủ đích hoặc tài nguyên
15



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×