Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Hệ thống phát hiện và ngăn ngừa
xâm nhập được triển khai trên
thiết bị đầu cuối
(Host-based IDS/IPS)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Khả năng của HIPS
- Phải có khả năng ngăn chặn các hoạt động của mã
độc hại.
- Không được làm gián đoạn các hoạt động bình
thường.
- Phải có khả năng biết được sự khác nhau giữa các
sự kiện tấn công và sự kiện bình thường.
- Phải có khả năng ngăn chặn được các cuộc tấn
công chưa từng được biết tới.
- Phải bảo vệ được các lỗ hỏng trong các ứng dụng.
- Nên được quản lý tập trung.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Các lợi ích của HIPS

- Ngăn chặn tấn công (attack prevention)
-Ngăn chặn phát tán tấn công nội bộ (internal
attack propagation prevention)
- Thực thi chính sách (Policy enforcement)
- Thực thi chính sách sử dụng có thể chấp
nhận được (Acceptable Use Policy
Enforcement)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Các giới hạn của HIPS
- Can thiêp người dùng cuối (Subject to End
User Tampering)
- Thiếu sự bao quát toàn mạng (Lack of
Complete Coverage)
- Các cuộc tấn công không nhằm vào mục
tiêu là các máy tính.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Các giới hạn của HIPS:
Can thiệp người dùng cuối
Một số phương pháp can thiệp có thể gây hại
đến HIPS.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông

ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Các giới hạn của HIPS:
Thiếu sự bao quát toàn mạng
HIPS chỉ có thể bảo vệ các
máy tính (host) mà nó được
cài đặt lên đó.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Mục tiêu không phải là máy tính
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Các thành phần của HIPS
Các sản phẩm HIPS thường có 2 thành
phần thiết yếu:
- Phần mềm được cài đặt trên thiết bị đầu
cuối để bảo vệ thiết bị đầu cuối đó. Được
gọi Endpoint Agents.
- Cơ sở hạ tầng quản lý để quản lý các
agent.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Endpoint Agents:
tiến trình điều khiển truy cập
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp
Bước đầu tiên trong tiến trình điều khiển truy
cập là “Xác định nguồn tài nguyên đang
được truy cập”. Xác định này sẽ kích hoạt
bước “Thu thập dữ liệu” và thay đổi loại hay
số lượng dữ liệu được thu thập.
Hỏi: Cách để xác định nguồn tài nguyên là
quan trọng?
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
11
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Vòng đời của cuộc tấn công
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

12
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Nhận biết các nguồn tài nguyên mà cuộc tấn
công cần cho mỗi giai đoạn:
- Mạng (Network)
- Bộ nhớ (Memory)
- Sự thực thi ứng dụng (Application execution)
- Các tập tin (files)
- Cấu hình hệ thống
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
4 phương pháp phổ biến dể thu thập dữ liệu:
- Kernel modification
- System call Interception
- Virtual Operation Systems
- Network traffic Analysis
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động (tt)
Kernel modification

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception (tt): Ví dụ trong Windows
- CSATdi (transport driver interface)
- CSAFile
- CSAReg
- CSACenter
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Virtual Operating Systems: trước khi các hành động được
cho phép, quyền được thực thi hành động đó được thực
hiện trong bản sao ảo của hệ điều hành.

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Network Traffic Analysis
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Dữ liệu được thu thập cho mỗi loại tài nguyên
Loại
tài nguyên
Dữ
liệu thu thập
Tất
cả
Thời
gian, xác định đầu cuối, access token, credential
Giám
sát mạng
Địa
chỉ IP nguồn, đích ; cổng nguồn, đích
Yêu
cầu kết nối mạng

Tên
tiến trình, địa chỉ IP, cổng, hành động (chấp nhận, từ chối)
Truy
cập file
Tên
tiến trình, đường dẫn file, tên file, hành động (đọc, viết)
Truy
cập registry
Tên
tiến trình, đường dẫn key, tên key, giá trị, loại
Sự
thực thi ứng dụng
Tên
tiến trình, đường dẫn tiến trình, tên tiến trình mục tiêu,
đường
dẫn tiến trình mục tiêu
Bảo
vệ kernel
Tên
mô-dun kernel, hash mô-dun, code pattarn
Bộ
nhớ (memory)
Tên
tiến trình, fuction call, buffer return address, buffer
contents
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20

Endpoint Agents:
Xác định tình trạng hệ thống
Tất cả dữ liệu liên quan đã được thu thập, tuy
nhiên tình trạng hệ thống có thể thay đổi kết quả
của việc yêu cầu này.
Có 3 loại sau:
- Tình trạng vị trí (location state)
- Tình trạng người dùng (user state)
- Tình trạng hệ thống (system state)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Endpoint Agents:
Tham khảo chính sách bảo mật
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Endpoint Agents:
Đưa ra quyết định hành động
Các hành động:
- Permit: cho phép hành động xảy ra
- Deny: không cho phép hành động xảy ra
- Log event: hành động này được kết hợp với Permit hoặc deny.
Ví dụ, hành động này nên được cho phép nhưng phải được ghi lại
- Drop packet: loại bỏ gói (packet) mà đã kích hoạt các dấu hiệu.
- Shun host: loại bỏ tất cả các lưu lượng mạng, không chấp nhận

kết nối đến, hoặc tạo kết nối đi từ một máy cụ thể hoặc một nhóm
máy.
- Query the user: hỏi người dùng có hay không một hành động
được cho phép.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
23
Cơ sở hạ tầng quản lý
(Management Infrastruture)
Bao gồm:
- Trung tâm quản lý (Management Center)
- Giao diện quản lý (Management Interface)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
24
Cơ sở hạ tầng quản lý
(Management Infrastruture)
Trung tâm quản lý (Management Center):
cơ sở dữ liệu (database), khả năng quản lý sự
kiện (event handing capability), và quản lý
chính sách (policy management).
Lưu ý: 3 thành phần trên mang tính chất luận
lý. Nhưng tùy vào mô hình quản lý, mỗi thành
phần trên có thể được cài đặt trên các máy tính
vật lý khác nhau.
Đại học Công nghệ thông tin

Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
25
Cơ sở hạ tầng quản lý
(Management Infrastruture)
Trung tâm quản lý (Management Center)