Tải bản đầy đủ (.pdf) (76 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa trên phân tích lưu lượng mạng và học máy

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.91 MB, 76 trang )

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ

Phát hiện xâm nhập mạng bằng phát hiện
bất thường dựa trên phân tích lưu lượng
mạng và học máy
NGUYỄN ANH ĐỨC
Ngành Cơng nghê Thông tin

Giảng viên hướng dẫn:

PGS. TS. Nguyễn Linh Giang

Viện:

Công nghệ Thông tin và Truyền thông

HÀ NỘI, 06/2020


TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ

Phát hiện xâm nhập mạng bằng phát hiện
bất thường dựa trên phân tích lưu lượng
mạng và học máy
NGUYỄN ANH ĐỨC
Ngành Cơng nghệ thông tin


Giảng viên hướng dẫn:

PGS. TS. Nguyễn Linh Giang

Viện:

Công nghệ Thông tin và Truyền thông

Chữ ký của GVHD

HÀ NỘI, 06/2020


CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn: Nguyễn Anh Đức
Đề tài luận văn: Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa
trên phân tích lưu lượng mạng và học máy
Ngành: Công nghệ thông tin
Mã số SV: CA170240
Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận
tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng
ngày…27/06/2020 với các nội dung sau
STT
1
2
3
4
5

6
7
8
9
10
11
12
13
14

Nội dung chỉnh sửa
Bổ sung mục tiêu của luận văn
Bổ sung ưu nhược điểm IDS và IPS
Bổ sung các phương pháp phát hiện bất thường
Bô sung ưu nhược điểm của hệ thống IDS/IPS
dựa trên luật
Bô sung mô tả chi tiết về thuật toán lan truyền
ngược
Đưa các kiểu tấn công Portscan xuống chương 3
Bổ sung giới thiệu và mô tả chi tiết PortscanAI
Sửa lại mô tả chi tiết dữ liệu đầu vào cho mạng
nơ-ron
Thay đổi hình vẽ trong mơ hình thử nghiệm
Bổ sung và giải thích kết quả thử nghiệm
Bổ sung và so sanh hiệu suất trước và sau khi áp
dụng học máy
Bổ sung đánh giá kết quả thử nghiệm
Sửa lỗi chính tả
Sửa lỗi trích dẫn tài liệu tham khảo


Giáo viên hướng dẫn

Mục lục

Trang

1.1.2
2.1

4-5
19

2.1.1

19-20

2.1.2.2
3.1
3.2.1

23-26
36-38
39-42

3.2.1
3.2.2
3.2.3.1

42-49
50

61-62

3.2.3.2
3.2.4

63-62
64-65

Ngày tháng năm
Tác giả luận văn

CHỦ TỊCH HỘI ĐỒNG


Lời cảm ơn
Trước hết, em xin chân thành gửi lời cảm ơn đến trường Đại Học Bách Khoa
Hà Nội đã đào đạo, trau dồi cho em những kiến thức thật bổ ích trong thời gian học
tại trường.
Em xin cảm ơn thầy Nguyễn Linh Giang đã hướng dẫn em hoàn thành Đồ
án chuyên ngành. Cảm ơn thầy đã định hướng, hướng dẫn, truyền đạt lại những kiến
thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hồn thành được
đồ án. Cảm ơn sự nhiệt tình, tận tâm của thầy đối với chúng em.
Em xin cảm ơn tất cả thầy cô trường Đại Học Bách Khoa Hà Nội cũng như
thầy cô trong viện Công Nghệ Thông Tin và truyền thông đã đào tạo, tạo điều kiện
và cung cấp cho chúng em những kiến thức hữu ích, làm hành trang bước vào tương
lai.
Em kính chúc thầy Nguyễn Linh Giang cũng như tất cả thầy cô trong viện
Công Nghệ Thông Tin và truyền thông trường Đại Học Bách Khoa Hà Nội dồi dào
sức khỏe, gặt hái nhiều thành trong sự nghiệp trồng người mà thầy cô đã chọn.
Em xin cảm ơn Viện Hóa học Mơi trường Qn sự đã hỗ trợ tơi trong q

trình thực hiện luận văn.
"Nghiên cứu này được tài trợ bởi Quỹ Phát triển khoa học và công nghệ Quốc gia
(NAFOSTED) trong đề tài mã số 102.02- 2019.314”.


Tóm tắt nội dung luận văn
Đề tài: Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa trên phân
tích lưu lượng mạng và học máy.
Tác giả luận văn: Nguyễn Anh Đức
Khóa: 2017A
Người hướng dẫn: PGS.TS. Nguyễn Linh Giang
Nội dung tóm tắt:
a) Lý do chọn đề tài: An ninh thơng tin nói chung và an ninh mạng nói riêng
đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Thời
gian gần đây, các cơ quan, tổ chức đã tăng cường triển khai đào tạo, đầu tư mua
sắm trang thiết bị và nghiên cứu các biện pháp nhằm đảm bảo an tồn thơng tin cho
máy tính cá nhân cũng như các mạng nội bộ. Tuy nhiên, tình trạng tấn cơng mạng
vẫn thường xun xảy ra, có nhiều cơ quan, tổ chức bị đánh cắp thơng tin gây nên
những hậu quả vô cùng nghiêm trọng. Hiện nay, theo các nghiên cứu tại Việt Nam
cũng như trên thế giới về xây dựng một hệ thống phát hiện xâm nhập mạng trái
phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các
nghiên cứu này có mức độ triển khai vào thực tế là chưa cao. Ngồi ra, các chương
trình giám sát hầu hết được tích hợp trên các thiết bị phần cứng nên việc khai thác
chức năng, hoặc người dùng tự phát triển mở rộng thêm chức năng của các chương
trình này nhằm phục vụ cho công việc quản trị mạng bị hạn chế. Vì vậy, lựa chọn
đề tài "Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa trên phân tích lưu
lượng mạng và học máy" nhằm nâng cao khả năng bảo đảm an tồn thơng tin, hỗ
trợ giám sát và bảo vệ hệ thống mạng là một yêu cầu khách quan cần thiết trong giai
đoạn hiện nay.
b) Mục đích nghiên cứu của luận văn, đối tượng, phạm vi nghiên cứu

- Mục đích nghiên cứu: Nghiên cứu các phương pháp phát hiện xâm nhập trái phép
dựa trên phát hiện bất thường và học máy
- Đối tượng, phạm vi nghiên cứu:
+ Phương pháp phát hiện xâm nhập trái phép dựa trên bất thường.
+ Thử nghiệm Snort phát hiện xâm nhập.
+ Ứng dụng Snorttrong IDS/IPS.
c) Kết luận
Luận văn đã nghiên cứu và trình bày tổng quan về hệ thống phát hiện xâm nhập,
các kỹ thuật phát hiện xâm nhập, trong đó đã nghiên cứu thử nghiệm hệ thống Snort
và đưa ra một số kết quả phát hiện xâm nhập dựa trên dấu hiệu; nghiên cứu về các
phương pháp phát hiện xâm nhập dựa trên bất thường bằng học máy.


MỤC LỤC
MỞ ĐẦU ............................................................................................................... 1
CHƯƠNG 1. TÔNG QUAN VỀ PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM
NHẬP MẠNG IDS/IPS ........................................................................................ 3
1.1

Giới thiệu về IDS/IPS ................................................................................ 3
1.1.1

Khái niệm về IDS/IPS ................................................................. 3

1.1.2

Sự khác nhau giữa IDS/IPS ........................................................ 4

1.1.3


Phân biệt những hệ thống không phải IDS ................................. 6

1.2

Chức năng của IDS/IPS ............................................................................. 6

1.3

Phân biệt IDS và IPS .................................................................................. 7

1.4

1.5

1.3.1

Network based IDS – NIDS ........................................................ 7

1.3.2

Host Based IDS-HIDS ................................................................ 9

1.3.3

So sánh giữa NIDS và HIDS..................................................... 10

Kiến trúc của IDS và nguyên lý hoạt động .............................................. 12
1.4.1

Kiến trúc của IDS ...................................................................... 12


1.4.2

Nguyên lý hoạt động ................................................................. 13

Cơ chế hoạt động của hệ thống IDS/IPS .................................................. 14
1.5.1

Phát hiện sự lạm dụng ............................................................... 14

1.5.2

Phát hiện sự bất thường............................................................. 15

1.5.3

So sánh giữa 2 mơ hình ............................................................. 17

CHƯƠNG 2. CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG
HỆ THỐNG IDS/IPS VÀ SNORT ................................................................... 19
2.1

Các phương pháp phát hiện bất thường ................................................... 19
2.1.1
Phát hiện xâm nhập mạng bất thường dựa trên luật (rule-based)
trong IDS/IPS ............................................................................................... 19
2.1.2
Phát hiện xâm nhập mạng bất thường dựa trên mạng nơ-ron
(Artificial Neural Network) ......................................................................... 20


2.2

Hệ thống phát hiện xâm nhập với Snort................................................... 26

2.3

Kiến trúc của snort ................................................................................... 27
2.3.1

Mơđun giải mã gói tin ............................................................... 28

2.3.2

Mơđun tiền xử lý ....................................................................... 28

2.3.3

Môđun phát hiện ....................................................................... 29

2.3.4

Môđun log và cảnh báo ............................................................. 30

2.3.5

Mô đun kết xuất thông tin ......................................................... 30

2.3.6

Bộ luật của snort ....................................................................... 31



CHƯƠNG 3. THỬ NGHIỆM PHÁT HIỆN TẤN CÔNG XÂM NHẬP
MẠNG BẤT THƯỜNG BẰNG HỌC MÁY ................................................... 36
3.1

3.2

Các kiểu tấn cống Portscan ...................................................................... 36
3.1.1

TCP Connect Scan .................................................................... 36

3.1.2

UDP Scan .................................................................................. 37

3.1.3

SYN Scan .................................................................................. 37

3.1.4

FIN Scan ................................................................................... 38

3.1.5

XMAS Scan .............................................................................. 38

3.1.6


NULL Scan ............................................................................... 38

3.1.7

Decoy Scan ............................................................................... 38

Thử nghiệm phát hiện tấn công bằng học máy ........................................ 39
3.2.1

Giới thiệu PortscanAI ............................................................... 39

3.2.2

Mơ hình thử nghiệm ................................................................. 50

3.2.3

Quá trình thử nghiệm ................................................................ 50

3.2.4

Đánh giá kết quả thử nghiệm .................................................... 64

KẾT LUẬN ......................................................................................................... 66
TÀI LIỆU THAM KHẢO ................................................................................. 67


DANH MỤC HÌNH VẼ
HÌNH 1.1 Mơ hình IDS .......................................................................................... 4

HÌNH 1.2 Mơ hình NIDS ....................................................................................... 7
HÌNH 1.3 Mơ hình Host based IDS – HIDS.......................................................... 9
HÌNH 1.4 Một ví dụ sử dụng kết hợp NIDS và HIDS. ........................................ 11
HÌNH 1.5 Thành phần của IDS ............................................................................ 12
HÌNH 1.6 Hoạt động của IDS .............................................................................. 13
HÌNH 1.7 Hệ thống kết hợp 2 mơ hình phát hiện ................................................ 18
HÌNH 2.1 Mơ hình hệ thống phát hiện bất thường dựa trên rule-based .............. 20
HÌNH 2.2 Kiến trúc một nơ ron nhân tạo ............................................................ 22
HÌNH 2.3Mơ hình mạng nơ ron cơ bản ............................................................... 22
HÌNH 2.4 Mạng truyền thẳng .............................................................................. 24
HÌNH 2.5 Hệ thống phát hiện xâm nhập sử dụng snort (Snort IDS) ................... 27
HÌNH 2.6 Kiến trúc của Snort.............................................................................. 27
HÌNH 2.7 Mơ hình xử lý một gói tin Ethernet..................................................... 28
HÌNH 3.1 Mơ hình kiến trúc của snort khi chưa tích hợp học máy ..................... 39
HÌNH 3.2 Kiểu tấn công TCP CONNECT ( Trái ) và TCP SYN ( Phải ) ........... 40
HÌNH 3.3 Sơ đồ hoạt động của hệ thống ............................................................. 41
HÌNH 3.4 Sơ đồ chi tiết của PortscanAI .............................................................. 42
HÌNH 3.5 Mơ hình mạng nơ ron trong PortscanAI ............................................. 45
HÌNH 3.6 Sơ đồ gói AI được tích hợp trong Snort .............................................. 47
HÌNH 3.7 Thơng số các lớp đầu vào và đâu ra của mạng nơ ron ........................ 48
HÌNH 3.8 Đồ thị huấn luyện mạng ...................................................................... 49
HÌNH 3.9 Mạng nơ-ron với 7 lớp đầu vào và 2 lớp đâu ra.................................. 49
HÌNH 3.10 Mơ hình thử nghiệm .......................................................................... 50


MỤC LỤC BẢNG BIỂU
Bảng 1.1 So sánh 2 mơ hình phát hiện ................................................................ 17
Bảng 2.1 Cấu trúc luật của Snort ......................................................................... 31
Bảng 2.2 Cấu trúc Header của một luật trong Snort ............................................ 32
Bảng 3.1 Bảng thu thập dữ liệu đầu vào .............................................................. 44



MỞ ĐẦU
1.Tính cấp thiết của đề tài:
An ninh mạng hiện nay là một vấn đề giới công nghệ thông tin khá quan
tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần
thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài
ngun từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên
cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm,
gây mất mát dữ liệu cũng như các thơng tin có giá trị. Càng giao thiệp rộng thì
càng dễ bị tấn cơng. Từ đó, vấn đề bảo vệ thơng tin cũng đồng thời xuất hiện.
Ngồi những lợi ích mà Internet mạng lại cho con người thì hiểm
họa từ Internet mang đến cũng khơng ít. Nhiều người đã dựa trên những lỗ
hỗng bảo mật của Internet để xâm nhập, chiếm dụng thông tin hoặc phá
hoại các hệ thống máy tính khác. Vì vậy, phát hiện và phịng chống tấn cơng xâm
nhập trái phép cho các mạng máy tính là một vấn đề cần thiết. Có rất nhiều giải
pháp được đưa ra như dùng tường lửa (Firewall), Mạng riêng ảo VPN,
IDS/IPS…
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một
phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới,
các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt
với các phương pháp bảo mật truyền thống khác.
Luận văn này tập trung nghiên cứu về Phát hiện xâm nhập mạng bằng phát
hiện bất thường dựa trên phân tích lưu lượng mạng và học máy.
2.Tổng quan về nội dung nghiên cứu của đề tài
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua
một bài báo của James Anderson [1]. Khi đó người ta cần IDS với mục đích là dị
tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong
mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống
mạng.

Hiện nay IDS/IPS đang là một trong các công nghệ an ninh được sử dụng
nhiều nhất và vẫn còn phát triển. Hệ thống phát hiện xâm nhập (IDS) là một
phương pháp bảo mật có khả năng chống lại các kiểu tấn cơng mới và có thể hoạt
động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu,
phát triển và ứng dụng ở nhiều quốc gia. Tuy nhiên ở Việt Nam hệ thống này vẫn
đang được nghiên cứu và ứng dụng trong thực tế còn nhiều hạn chế. Nguyên
nhân của việc này có thể do các hệ thống IDS cịn phức tạp, tốn thời gian đào tạo
để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị,
nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ
thống ở Việt Nam hiện nay.
Từ những vấn đề nêu trên, tôi thực hiện đề tài này với mong muốn nghiên
cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép, giới
1


thiệu về ứng dụng mạng nơ- ron, một kỹ thuật học máy trong các hệ thống phát
hiện xâm nhập. Vấn đề này đã đã được nghiên cứu, đề xuất từ những năm 1990
và gần đây có nhiều kết quả nghiên cứu được cơng bố trên tồn thế giới.
3.Mục tiêu nghiên cứu
- Hiểu được các kỹ thuật xâm nhập bất hợp pháp và Hacker thường sử dụng để
tấn công vào mạng.
- Nghiên cứu và áp dụng chương trình hỗ trợ phát hiện xâm nhập mạng mã
nguồn mở Snort và các công cụ mã nguồn mở được phát triển để bảo vệ hệ thống
mạng máy tính
- Nghiên cứu giải thuật lan truyền ngược ứng dụng trên mạng nơ ron trong hệ
thống phát hiện xâm nhập.
4. Đối tượng và phạm vi nghiên cứu
- Hiểu về bảo mật và các phương thức xâm nhập tấn công hệ thống
- Nghiên cứu kỹ thuật máy học tối ưu phù hợp với mỗi kiểu tấn công dựa trên các
thuật toán máy học đã biết mạng nơron nhân tạo

5. Phương pháp nghiên cứu
Lý thuyết:
- Nghiên cứu tìm hiểu các thông tin về bảo mật, các nguy cơ đe dọa về bảo mật
- Tài liệu về các phương thức xâm nhập hệ thống – biện pháp phát hiện và ngăn
ngừa
- Các tài liệu về hệ thống IDS
- Thu thập tài liệu liên quan đến các vấn đề về đề tài
Thực nghiệm
- Thử nghiệm phát hiện tấn công Portscan bằng học máy.

2


CHƯƠNG 1. TƠNG QUAN VỀ PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM
NHẬP MẠNG IDS/IPS
Trong chương này, tác giả sẽ trình bày chi tiết về các vấn đề sau :
-

Trình bày tổng quan về hệ thống phát hiện và phòng chống xâm nhập
mạng IDS/IPS

-

Phân biệt các hệ thống phát hiện xâm nhập mạng

-

Các chức năng của hệ thống phát hiện xâm nhập

-


Kiên chúc và nguyên lý hoạt động

-

Cơ chế hoạt động của hệ thống

1.1 Giới thiệu về IDS/IPS
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một
bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dị tìm và
nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng,
phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các
nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm
1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của khơng lực
Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một
số hệ thống IDS chỉ được xuất hiện trong các phịng thí nghiệm và viện nghiên
cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa
trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến
rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau
đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp
giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS/IPS đang là một
trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.
1.1.1 Khái niệm về IDS/IPS
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ
thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy
ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an
ninh, bảo mật. Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng
ngày càng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần
thiết hơn trong nền tảng bảo mật của các tổ chức.Ý tưởng của công nghệ này là
mọi cuộc tấn công chống lại bất cứ thành phần nào của môi trường được bảo vệ

sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập. Với “quyền tối
thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu lượng
nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một
cuộc tấn cơng hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích
hợp để hồn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có
hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả
3


những gì liên quan đến mối đe doạ đều bị ngăn chặn. Khi một hệ thống IDS có
khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi
là một hệ thống phịng chống xâm nhập hay IPS.
Hình sau minh hoạ các vị trí thường cài đặt IDS trong mạng:

HÌNH 1.1 Mơ hình IDS

1.1.2 Sự khác nhau giữa IDS/IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát
hiện” và “ngăn chặn”, ngày nay công nghệ IDS đã dần được thay thế bằng các
giải pháp IPS. Ta có thể hiểu đơn giản IDS chỉ là một cái chuông để cảnh báo
cho người quản trị biết những nguy cơ có thể xảy ra tấn công đây là một giải
pháp giám sát thụ động, tức là chỉ có thể cảnh báo, việc thực hiện ngăn chặn các
cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy
yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các
lưu lượng bất thường có nghi vấn là dấu hiệu của một cuộc tấn cơng, cơng việc
này thì trở nên hết sức khó khăn.
Với IPS, người quản trị khơng những có thể xác định được các lưu lượng
khả nghi khi có dấu hiệu tấn cơng mà cịn giảm thiểu được khả năng xác định sai
các lưu lượng. Với IPS, các cuộc tấn cơng sẽ bị loại bỏ ngay khi mới có dấu hiệu
và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn.

– IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công phát
hiện sự lạm dụng, phát hiện sự bất thường. Vì mỗi cuộc tấn cơng lại có các cơ
chế khác nhau của nó, vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS,
do số lượng cơ chế là ít nên có thể dẫn đến tình trạng khơng phát hiện ra được
các cuộc tấn cơng với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn
công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế
của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn
thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều
cơ chế tấn cơng và hồn tồn có thể tạo mới các cơ chế phù hợp với các dạng
4


thức tấn công mới nên sẽ giảm thiểu được khả năng tấn cơng của mạng, thêm đó,
độ chính xác của IPS là cao hơn so với IDS.
– Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất
hiện sau khi gói tin của cuộc tấn cơng đã đi tới đích, lúc đó việc chống lại tấn
cơng là việc nó gửi các u cầu đến các máy của hệ thống để xoá các kết nối đến
máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đên tường lửa (
Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi
khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu Attacker giả mạo (sniffer)
của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn cơng từ chối dịch vụ
thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn cơng từ chối dịch vụ
nhưng nó cũng sẽ Block ln cả IP của khách hàng, đối tác, như vậy thiệt hại vẫn
tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ
chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu
hiệu của cuộc tấn công và sau đó là khố ngay các lưu lượng mạng này thì mới
có khả năng giảm thiểu được các cuộc tấn công.
Như vây các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện
và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong
khi đó, một hệ thống IPS ngồi khả năng phát hiện cịn có thể tự hành động

chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn. Tuy
vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS
được thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó
một số hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng
chống theo đúng nghĩa. Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS
hay IPS? Câu trả lời tùy thuộc vào quy mô, tính chất của từng mạng máy tính cụ
thể cũng như chính sách an ninh của những người quản trị mạng. Trong trường
hợp các mạng có quy mơ nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường
được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn
chặn của nó. Tuy nhiên với các mạng lơn hơn thì chức năng ngăn chặn thường
được giao phó cho một sản phẩm chuyên dụng như một firewall chẳng hạn. Khi
đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến một
hệ thống ngăn chặn khác. Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo
an ninh cho mạng trở nên linh động và hiệu quả hơn.
Từ những phân tích trên ta có thể có thể thấy được ưu điểm cũng như hạn
chế của hệ thống phạt hiện xâm nhập :
-

Ưu điểm:
Cung cấp một cách nhìn tồn diện về toàn bộ lưu lượng mạng.
Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.
Hạn chế:
Có thể gây ra tình trạng báo động nhầm nếu cấu hình khơng hợp lý.
Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
Chi phí triển khai và vận hành hệ thống tương đối lớn .
5


1.1.3


Phân biệt những hệ thống không phải IDS

Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ
thống phát hiện xâm nhập, không phải mọi thứ đều được qui vào mục này. Theo
một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây khơng phải là IDS:
• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn
đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống
kiểm tra lưu lượng mạng.
• Các cơng cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã
nguy hiểm như virus, trojan horse, worm,...Mặc dù những tính năng mặc định có
thể giống IDS và thường cung cấp một cơng cụ phát hiện lỗ hổng bảo mật hiệu
quả.
• Tường lửa – firewall : các hệ thống bảo mật, mật mã như: SSL, Kerberos,
VPN,..
Chức năng của IDS/IPS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống
thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt
ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống
phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là
hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp
nhận là một thành phần thêm vào cho mọi hệ thống an tồn hay khơng vẫn là một
câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những
chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng
hệ thống IDS:
1.2


• Bảo vệ tính tồn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoạidữliệu.
• Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi.
Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập
thơng tin của người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thơng tin bất hợp pháp.
• Cung cấp thơng tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi
phục, sửa chữa…
Nói tóm lại ta có thể tóm tắt IDS như sau:
6


Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
 Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
 Chức năng mở rộng:
Phân biệt: "thù trong giặc ngồi" tấn cơng bên trong và tấn cơng bên ngồi.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự
so sánh thông lượng mạng hiện tại với baseline.
Ngồi ra hệ thống phát hiện xâm nhập IDS cịn có chức năng:
 Ngăn chặn sự gia tăng của những tấn công
 Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
 Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển
nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế

mạng cũng như cách bố trí bảo vệ phịng thủ của các nhà quản trị mạng.
1.3 Phân biệt IDS và IPS
Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là
dựa vào đặc điểm của nguồn dữ liệu thu thập được. Trong trường hợp này, các hệ
thống IDS được chia thành các loại sau: • Host-based IDS (HIDS): Sử dụng dữ
liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập. • Network-based IDS
(NIDS): Sử dụng dữ liệu trên tồn bộ lưu thơng mạng, cùng với dữ liệu kiểm tra
từ một hoặc một vài máy trạm để phát hiện xâm nhập.
1.3.1
Network based IDS – NIDS
NIDS thường bao gồm có hai thành phần logic : • Bộ cảm biến – Sensor :
đặt tại một đoạn mạng, kiểm soát các cuộc lưu thơng nghi ngờ trên đoạn mạng
đó. • Trạm quản lý : nhận các tín hiệu cảnh báo từ bộ cảm biến và thơng báo cho
một điều hành viên.

HÌNH 1.2 Mơ hình NIDS

7


Một NIDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau
cùng giao tiếp với một trạm kiểm sốt.
Ưu điểm
• Chi phí thấp : Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám
sát lưu lượng tồn mạng nên hệ thống không cần phải nạp các phần mềm và quản
lý trên các máy tồn mạng.
• Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS
kiểm tra header của tất cả các gói tin vì thế nó khơng bỏ sót các dấu hiệu xuất
phát từ đây. Ví dụ: nhiều cuộc tấn công DoS, TearDrop (phân nhỏ) chỉ bị phát
hiện khi xem header của các gói tin lưu chuyển trên mạng.

• Khó xố bỏ dấu vết (evidence): Các thơng tin lưu trong log file có thể bị kẻ đột
nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS
khó có đủ thơng tin để hoạt động. NIDS sử dụng lưu thông hiện hành trên mạng
để phát hiện xâm nhập. Vì thế, kẻ đột nhập khơng thể xố bỏ được các dấu vết
tấn cơng. Các thông tin bắt được không chỉ chứa cách thức tấn công mà cả thông
tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập.
• Phát hiện và đối phó kịp thời : NIDS phát hiện các cuộc tấn cơng ngay khi xảy
ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn. VD : Một
hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và ngăn
chặn ngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn cơng trước
khi nó xâm nhập và phá vỡ máy bị hại.
• Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể nào đối với
cơng việc của các máy trên mạng. Chúng chạy trên một hệ thống chuyên dụng dễ
dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình
và cắm chúng vào trong mạng tại một vị trí cho phép nó kiểm sốt các cuộc lưu
thơng nhạy cảm.
Nhược điểm
• Bị hạn chế với Switch: Nhiều lợi điểm của NIDS không phát huy được trong
các mạng chuyển mạch hiện đại. Thiết bị switch chia mạng thành nhiều phần độc
lập vì thế NIDS khó thu thập được thơng tin trong toàn mạng. Do chỉ kiểm tra
mạng trên đoạn mà nó trực tiếp kết nối tới, nó khơng thể phát hiện một cuộc tấn
công xảy ra trên các đoạn mạng khác.
Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua một lượng lớn các bộ cảm biến
để có thể bao phủ hết tồn mạng gây tốn kém về chi phí cài đặt.
• Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin
trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các
cuộc tấn công thực hiện vào lúc "cao điểm". Một số nhà sản xuất đã khắc phục
bằng cách cứng hố hồn tồn IDS nhằm tăng cường tốc độ cho nó. Tuy nhiên,
do phải đảm bảo về mặt tốc độ nên một số gói tin được bỏ qua có thể gây lỗ hổng
cho tấn cơng xâm nhập.

• Tăng thơng lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền
một dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một
8


gói tin được kiểm sốt sẽ sinh ra một lượng lớn tải phân tích. Để khắc phục
người ta thường sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số
lượng các lưu thông được truyền tải. Họ cũng thường thêm các chu trình tự ra các
quyết định vào các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị
hiển thị trạng thái hoặc trung tâm truyền thông hơn là thực hiện các phân tích
thực tế. Điểm bất lợi là nó sẽ cung cấp rất ít thơng tin liên quan cho các bộ cảm
biến; bất kỳ bộ cảm biến nào sẽ không biết được việc một bộ cảm biến khác dò
được một cuộc tấn cơng. Một hệ thống như vậy sẽ khơng thể dị được các cuộc
tấn cơng hiệp đồng hoặc phức tạp.
• Một hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn cơng
trong một phiên được mã hố. Lỗi này càng trở nên trầm trọng khi nhiều công ty
và tổ chức đang áp dụng mạng riêng ảo VPN.
• Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn cơng
mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho
NIDS hoạt động sai và đổ vỡ.
1.3.2

Host Based IDS-HIDS

Host-based IDS tìm kiếm dấu hiệu của xâm nhập vào một host cục bộ;
thường sử dụng các cơ chế kiểm tra và phân tích các thơng tin được
logging. Nó tìm kiếm các hoạt động bất thường như login, truy nhập file
khơng thích hợp, bước leo thang các đặc quyền khơng được chấp nhận.
Kiến trúc IDS này thường dựa trên các luật (rule-based) để phân tích các
hoạt động. Ví dụ đặc quyền của người sử dụng cấp cao chỉ có thể đạt được

thông qua lệnh su-select user, như vậy những cố gắng liên tục để login vào
account root có thể được coi là một cuộc tấn cơng.
Packet

Packet

Packet

Packet
INTERNET

NIDS

Packet
SWITCH

Packet
HIDS
PC

PC

HIDS

PC
PC

HÌNH 1.3 Mơ hình Host based IDS – HIDS

Ưu điểm

• Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log
lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay
9


thất bại với độ chính xác cao hơn NIDS. Vì thế, HIDS có thể bổ sung thơng
tin tiếp theo khi cuộc tấn cơng được sớm phát hiện với NIDS.
• Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát
các hoạt động mà NIDS khơng thể như: truy nhập file, thay đổi quyền, các
hành động thực thi, truy nhập dịch vụ được phân quyền. Đồng thời nó cũng
giám sát các hoạt động chỉ được thực hiện bởi người quản trị. Vì thế, hệ
thống host-based IDS có thể là một cơng cụ cực mạnh để phân tích các
cuộc tấn cơng có thể xảy ra do nó thường cung cấp nhiều thơng tin chi tiết
và chính xác hơn một hệ network-based IDS.
• Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng
bàn phím xâm nhập vào một server sẽ khơng bị NIDS phát hiện.
• Thích nghi tốt với mơi trường chuyển mạch, mã hoá: Việc chuyển mạch
và mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó khơng
bị ảnh hưởng bởi hai kỹ thuật trên. • Không yêu cầu thêm phần cứng: Được
cài đặt trực tiếp lên hạ tầng mạng có sẵn (FTP Server, WebServer) nên
HIDS không yêu cầu phải cài đặt thêm các phần cứng khác.
Nhược điểm
• Khó quản trị : các hệ thống host-based yêu cầu phải được cài đặt trên tất
cả các thiết bị đặc biệt mà bạn muốn bảo vệ. Đây là một khối lượng cơng
việc lớn để cấu hình, quản lí, cập nhật.
• Thơng tin nguồn khơng an tồn: một vấn đề khác kết hợp với các hệ
thống host-based là nó hướng đến việc tin vào nhật ký mặc định và năng
lực kiểm sốt của server. Các thơng tin này có thể bị tấn công và đột nhập
dẫn đến hệ thống hoạt đơng sai, khơng phát hiện được xâm nhập.
• Hệ thống host-based tương đối đắt : nhiều tổ chức không có đủ nguồn tài

chính để bảo vệ tồn bộ các đoạn mạng của mình sử dụng các hệ thống
host-based. Những tổ chức đó phải rất thận trọng trong việc chọn các hệ
thống nào để bảo vệ. Nó có thể để lại các lỗ hổng lớn trong mức độ bao phủ
phát hiện xâm nhập. Ví dụ như một kẻ tấn cơng trên một hệ thống láng
giềng khơng được bảo vệ có thể đánh hơi thấy các thông tin xác thực hoặc
các tài liệu dễ bị xâm nhập khác trên mạng.
• Chiếm tài nguyên hệ thống : Do cài đặt trên các máy cần bảo vệ nên
HIDS phải sử dụng các tài nguyên của hệ thống để hoạt động như: bộ vi xử
lí, RAM, bộ nhớ ngồi.
1.3.3 So sánh giữa NIDS và HIDS
Network-based IDS thường sử dụng phương pháp phát hiện là anomalybased và phân tích dữ liệu trong thời gian thực. Network-based IDS khơng có tác
động tới mạng hay host, nên không thể bảo vệ một hệ xác định khỏi tấn cơng có
thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với
10


workstation, cấu hình lại network routing có thể là cần thiết với mơi trường
chuyển mạch.
Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misusebased và anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm
toán của hệ thống ở thời gian thực cũng như định kỳ, do đó phân phối được sự
tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá
trình quản trị bảo mật. Do nó hoạt động trên host nên HIDS khơng thể chống
được kiểu tấn cơng vào mạng như syn flood, nhưng có thể giảm bớt công việc
cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của networkbased IDS và trên môi trường chuyển mạch.
Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS
cũng được thiết kế để thực thi các chính sách một cách dễ dàng, trong khi
network-based IDS cần phải được cập nhật các chính sách offline và có thể gây
ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động.
Nói chung network-based IDS thích hợp với việc xác định giao dịch phức
tạp trên mạng và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn

khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm,
điều này tiện cho việc quản lý và phản ứng với các cuộc tấn cơng.
Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật
bảo mật thông tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù
NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý,
nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền
dữ liệu. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch,
mạng tốc độ cao trên 100Mbps, và ở mạng có mã hóa. Hơn nữa, khoảng 80 –
85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Do đó, hệ
thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS, nhưng nên
luôn sử dụng NIDS để đảm bảo an tồn. Nói chung một mơi trường thực sự an
toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo mật cao nhất
bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host
trên mạng.

HÌNH 1.4 Một ví dụ sử dụng kết hợp NIDS và HIDS.

Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm
hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được
11


đặt trước đường ra mạng ngồi nhằm phân tích dữ liệu vào ra hệ thống. Phía bên
trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi
tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và
HIDS khi chúng phát hiện ra có xâm nhập trái phép.
Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới
đây, đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một
hacker muốn xâm nhập vào hệ thống. Một IDS ứng dụng có thể phát hiện được
hacker đó định ghi đè root directory của web server bằng một tập file nào đó.

Nhưng nó khơng thể phát hiện được nếu kẻ tấn cơng xóa một thư mục quan trọng
của hệ điều hành như /etc trên UNIX server. Trong khi đó một IDS của hệ điều
hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành
nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn cơng
dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server
rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và khơng thể
phục vụ được). Cịn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện
được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack nhưLAND,
nhưng nó khơng thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông tin
credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và
network-based IDS có thể phát hiện được tất cả các kiểu tấn công trên.
1.4 Kiến trúc của IDS và nguyên lý hoạt động
1.4.1 Kiến trúc của IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu
thập gói tin (information collection), thành phần phân tích gói tin(Dectection),
thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công
của tin tặc. Trong ba thành phần này thì thành phần phân tích gói tin là quan
trọng nhất và ở thành phần này bộ cảm biến đóng vai trị quyết định nên chúng ta
sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện
xâm nhập là như thế nào.
Protected system
Event
Generator

Analyzer (Sensor)

Response
Module

Set of Events

(Syslogs, System status,
Network Packet)

Information
Collection
Policy

Information Collection

System
Information

Detection
Policy

Detection

Response
Policy

Response

HÌNH 1.5 Thành phần của IDS

12


Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ
lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp

một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện
của hệ thống hoặc các gói mạng. Số chính sách này cùng với thơng tin chính sách
có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp
nào đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích
mà khơng có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một
chút nào đó đến các gói mạng.
Vai trò của bộ cảm biến là dùng để lọc thơng tin và loại bỏ dữ liệu khơng
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu
chính sách phát hiện cho mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn
cơng, profile hành vi thơng thường, các tham số cần thiết (ví dụ: các ngưỡng).
Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền
thơng với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm
dữ liệu lưu về các xâm nhập phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác
nhau).
1.4.2

Nguyên lý hoạt động

HÌNH 1.6 Hoạt động của IDS

Q trình phát hiện có thể được mơ tả bởi các yếu tố cơ bản nền tảng sau:
 Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng
(Intrustion Montorring).
 Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành
động nào là tấn công (Intruction detection).
 Xuất thông tin cảnh báo (response): hành động cảnh báo cho sự tấn cơng được
phân tích ở trên nhờ bộ phận (thông báo - Notification).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo
đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi

các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo
13


bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định
tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) theo các chính sách
bảo mật của các tổ chức. Một IDS là một thành phần nằm trong chính sách bảo
mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính
pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện
các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ
thống.
Phát hiện xâm nhập đơi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề
xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc
các chữ ký thông qua mail.
1.5 Cơ chế hoạt động của hệ thống IDS/IPS
Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm
nhập là:
- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện
các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm
nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị
tấn công của hệ thống.
- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát
hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông
thường của người dùng hay hệ thống.
1.5.1 Phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột
nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mơ
tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách

thức này được mô tả như một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện
kiểm soát đối với các mẫu đã rõ ràng. Mẫu có thể là một xâu bit cố định (ví dụ
như một virus đặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các
hành động đáng nghi ngờ. Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập
(intrusion scenario). Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so
sánh hành động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố
gắng dò ra kịch bản đang được tiến hành. Hệ thống này có thể xem xét hành
động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các
bản ghi kiểm tra được ghi lại bởi hệ điều hành. Các kỹ thuật để phát hiện sự lạm
dụng khác nhau ở cách thức mà chúng mô hình hố các hành vi chỉ định một sự
xâm nhập. Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật
(rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống.
Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì
chúng khơng được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm
nhập.
14


Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch
bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép
biến đổi trạng thái. Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ
thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải
thường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập
mới được phát hiện.
1.5.2

Phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận
của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất

thường, tìm ra các thay đổi, các hành vi bất hợp pháp. Như vậy, bộ phát hiện sự
không bình thường phải có khả năng phân biệt giữa những hiện tượng thông
thường và hiện tượng bất thường. Ranh giới giữa dạng thức chấp nhận được và
dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định nghĩa rõ ràng
(chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất
thường thì khó xác định hơn. Phát hiện sự khơng bình thường được chia thành
hai loại tĩnh và động
a. Phát hiện tĩnh
Dựa trên giả thiết ban đầu là phần hệ thống được kiểm sốt phải ln ln
khơng đổi. Ở đây, ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả
sử là phần cứng khơng cần phải kiểm tra). Phần tĩnh của một hệ thống bao gồm 2
phần con: mã hệ thống và dữ liệu của phần hệ thống đó. Hai thơng tin này đều
được biểu diễn dưới dạng một xâu bit nhị phân hoặc một tập các xâu. Nếu biểu
diễn này có sự sai khác so với dạng thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ
xâm nhập nào đó đã thay đổi nó. Lúc này, bộ phát hiện tĩnh sẽ được thông báo để
kiểm tra tính tồn vẹn dữ liệu. Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một
vài xâu bit cố định để định nghĩa trạng thái mong muốn của hệ thống. Các xâu
này giúp ta thu được một biểu diễn về trạng thái đó, có thể ở dạng nén. Sau đó,
nó so sánh biểu diễn trạng thái thu được với biểu diễn tương tự được tính tốn
dựa trên trạng thái hiện tại của cùng xâu bit cố định. Bất kỳ sự khác nhau nào đều
là thể hiện lỗi như hỏng phần cứng hoặc có xâm nhập. Biểu diễn trạng thái tĩnh
có thể là các xâu bit thực tế được chọn để định nghĩa cho trạng thái hệ thống, tuy
nhiên điều đó khá tốn kém về lưu trữ cũng như về các phép toán so sánh. Do vấn
đề cần quan tâm là việc tìm ra được sự sai khác để cảnh báo xâm nhập chứ không
phải chỉ ra sai khác ở đâu nên ta có thể sử dụng dạng biểu diễn được nén để giảm
chi phí. Nó là giá trị tóm tắt tính được từ một xâu bit cơ sở. Phép tính tốn này
phải đảm bảo sao cho giá trị tính được từ các xâu bit cơ sở khác nhau là khác
nhau. Có thể sử dụng các thuật tốn checksums, message-digest (phân loại thông
15



điệp), các hàm băm. Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với metadata (dữ liệu mô tả các đối tượng dữ liệu) hoặc thông tin về cấu trúc của đối
tượng được kiểm tra. Ví dụ, meta-data cho một log file bao gồm kích cỡ của nó.
Nếu kích cỡ của log file tăng thì có thể là một dấu hiệu xâm nhập.
b. Phát hiện động
Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior). Hành vi của hệ
thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ
thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi
hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ
những hành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều
hành mới được xem xét. Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc
không và thông tin phải được tích luỹ. Các ngưỡng được định nghĩa để phân biệt
ranh giới giữa việc sử dụng tài nguyên hợp lý hay bất thường. Nếu không chắc
chắn hành vi là bất thường hay khơng, hệ thống có thể dựa vào các tham số được
thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi. Ranh giới trong
trường hợp này là khơng rõ ràng do đó có thể dẫn đến những cảnh báo sai. Cách
thức thông thường nhất để xác định ranh giới là sử dụng các phân loại thống kê
và các độ lệch chuẩn. Khi một phân loại được thiết lập, ranh giới có thể được
vạch ra nhờ sử dụng một số độ lệch chuẩn. Nếu hành vi nằm bên ngồi thì sẽ
cảnh báo là có xâm nhập. Cụ thể là: các hệ thống phát hiện động thường tạo ra
một profile (dữ liệu) cơ sở để mô tả đặc điểm các hành vi bình thường, chấp nhận
được. Một dữ liệu baog ồm tập các đo lường được xem xét về hành vi, mỗi đại
lượng đo lường gồm nhiều chiều:
• Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăng nhập,…
• Các tài ngun được sử dụng trong cả quá trình hoặc trên một đơn vị
thời gian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn
vị thời gian,…
• Chuỗi biểu diễn các hành động.
Sau khi khởi tạo dữ liệu cơ sở, q trình phát hiện xâm nhập có thể được bắt
đầu. Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm sốt

hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầu
của hành vi được mong đợi (chính là dữ liệu cơ sở), để tìm ra sự khác nhau. Khi
hệ thống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến
thực thể hoặc các hành động là thuộc tính của thực thể. Chúng xây dựng thêm
một dữ liệu hiện tại.
Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản ghi
kiểm tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan. Các
16


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×