HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG BÁO CÁO BÀI TẬP LỚN BỘ MÔN AN TOÀN MẠNG THÔNG TIN CHỦ ĐỀ 12 TÌM HIỂU CẤU TRÚC VÀ CÁC HỆ THỐNG IDS Giảng viên Phạm Anh Thư Nhóm lớp 7 Nhóm bài tậ[.]
z HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG BÁO CÁO BÀI TẬP LỚN BỘ MÔN: AN TỒN MẠNG THƠNG TIN CHỦ ĐỀ 12: TÌM HIỂU CẤU TRÚC VÀ CÁC HỆ THỐNG IDS Giảng viên: Phạm Anh Thư Nhóm lớp: Nhóm tập lớn: 11 Thành viên: Trần Nam Hải - B19DCVT118 Đặng Văn Hoàng - B19DCVT153 Bùi Trọng Đạt - B19DCVT074 Phùng Văn Thụ - B19DCVT398 Nguyễn Mạnh Hùng – B19DCVT166 Hà Nội, Tháng năm 2022 STT: 14 STT: 18 STT: STT: 38 STT: 22 MỤC LỤC Lời mở đầu ……………………………………………………………… Phần 1: Tổng quan 1.1: Lý chọn đề tài 1.2: Phân tích trạng 1.3: Xác định mục tiêu tìm hiểu Phần 2: Tìm hiểu IDS 2.1: Khái niệm IDS 2.1.1: Khái niệm “phát xâm nhập” 2.1.2: Khái niệm IDS 2.1.3: Ưu nhược điểm IDS 2.1.4: Phân biệt hệ thống IDS 2.2: Các thành phần IDS 2.2.1: Thành phần thu thập gói tin 2.2.2: Thành phần phát gói tin 2.2.3: Thành phần phản hồi (phản ứng) 2.3: Cơ chế hoạt động IDS 2.3.1: Các nhiệm vụ cần thực 2.3.2: Nguyên lý hoạt động 2.3.3: Các kỹ thuật xử lí sử dụng IDS 2.4: So sánh IDS với Firewall IPS 2.4.1: IDS Firewall 2.4.2: IDS IPS Phần 3: Phân loại hệ thống IDS: 3.1: Network-based Instruction Detection System (NIDS) 3.1.1: Ưu điểm NIDS 3.1.2: Nhược điểm NIDS 3.2: Host-based Instruction Detection System (HIDS) 3.2.1: Ưu điểm HIDS 3.2.2: Nhược điểm HIDS 3.3: Một số hệ thống IDS khác 3.4: Các ứng dụng IDS phổ biến Phần 4: Kết luận Phần 5: Tài liệu tham khảo LỜI MỞ ĐẦU Trong thời đại kỉ nguyên số 4.0 hàng loạt tiến khoa học kĩ thuật có bước phát triển Trong phải kể đến hệ thống mạng Internet nhằm phục vụ cho yêu cầu kết nối người mục tiêu, dự án đầu tư phát triển vượt bậc vài thập kỉ qua Đặc biệt thời đại mới, thông tin cá nhân vô quan trọng Nó gây ảnh hưởng xấu đến cá nhân tập thể lớn bị lợi dụng hay đánh cắp hacker thông tin cập nhật hệ thống mạng Chính Internet mạng nội ngày phổ biến, thách thức vấn đề xâm nhập mạng trái phép buộc tổ chức phải bổ sung thêm hệ thống để kiểm tra lỗ hổng bảo mật CNTT Một hệ thống người quan tâm đến bảo mật nhắc đến nhiều hệ thống phát xâm nhập (IDS) Và chủ đề tìm hiểu viết Chúng em xin cảm ơn cô Phạm Anh Thư cho chúng em hội để tìm hiểu chủ đề hay có tính thiết thực cao công việc ngành học tương lai Chúng em mong nhận ý kiến, nhận xét từ cô PHẦN 1: TỔNG QUÁT 1.1: Lý chọn đề tài Với tên môn An tồn mạng thơng tin, đươc chọn đề tài tập lớn, thành viên nhóm muốn tìm hiểu hệ thống bảo mật phổ biến Trong biết hệ thống bảo mật IDS với chế hoạt động dễ tiếp cận, cải tiến phổ biến đề tài mà chúng em định lựa chọn để nghiên cứu 1.2: Phân tích trạng bảo mật mạng - Theo thông tin từ Microsoft, năm 2019, họ chặn 13 tỷ gói tin độc hại đáng ngờ có tỷ URL thiết lập với mục tiêu đánh cắp thông tin xác thực - Các kỹ thuật công phổ biến hacker sử dụng thời gian qua thám, thu thập thông tin đăng nhập, phần mềm độc hại khai thác mạng riêng ảo VPN - Theo thông tin từ Cục An tồn thơng tin, Bộ TT&TT Việt Nam ghi nhận tháng đầu năm 2021 có 1271 công mạng gây cố vào hệ thống thông tin Trên 90% mạng kết nối sử dụng IDS để phát lỗ hổng bảo mật máy tính Nguồn thơng tin: Microsoft Digital Defense Report – Microsoft Security Tình hình an ninh mạng Việt Nam giới (thaibinh.gov.vn) Chính từ thực trạng cơng mạng cịn xảy với số lượng lớn năm qua mà ta rút kết luận: - Nếu sử dụng phần mềm bảo mật hay diệt virus cần tìm hiểu cài đặt phần mềm đảm bảo uy tín, nên bổ sung thêm IDS cho chiến lược bảo mật đa phần phần mềm chống virus không sử dụng IDS - Với công nghệ phát triển ngày nay, khơng có giải phát bảo mật tồn lâu dài Nên cần kiểm tra nâng cấp thường xuyên - Hệ thống bảo mật IDS phương pháp bảo mật tin dùng có khả chống lại kiểu công mới, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống 1.3: Xác định mục tiêu tìm hiểu Lựa chọn đề tài IDS chúng em mong người đọc xong đọc xong nội dung rút kiến thức IDS sau: - Hiểu định nghĩa IDS gì? - Lí nên sử dụng IDS - Các thành phần IDS vai trò phần - Phân biệt so sánh IDS với số hệ thống bảo mật khác - Các mơ hình IDS ứng dụng IDS phổ biến PHẦN 2: TÌM HIỂU VỀ IDS 2.1: Khái niệm IDS 2.1.1: Khái niệm “phát xâm nhập” Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu “ xâm nhập bất hợp pháp” Xâm nhập bất hợp pháp định nghĩa cố gắng tìm cách để xâm hại đến tính tồn vẹn, tính sẵn sàng, tính tin cậy cố gắng vượt qua chế bảo mật hệ thống máy tính hay mạng Việc xâm nhập xuất phát từ kẻ cơng mạng Internet nhằm giành quyền truy cập hệ thống, người dùng cấp phép hệ thống muốn chiếm đoạt quyền khác mà họ chưa cấp phát Hệ thống phát xâm nhập hệ thống phần mềm phần cứng có khả tự động theo dõi phân tích để phát dấu hiệu xâm nhập 2.1.2: IDS (Intrusion Detection System) Hệ thống phát xâm nhập – IDS hệ thống giám sát lưu lượng mạng nhằm phát hiện tượng bất thường, hoạt động xâm nhập trái phép vào hệ thống cảnh báo cho hệ thống, nhà quản trị Tấn công bên (từ nội bộ) Tấn công bên (từ hacker) Hệ thống phát xâm nhập trái phép ứng dụng phần mềm chuyên dụng để phát xâm nhập vào hệ thống mạng cần bảo vệ IDS thiết kế với mục đích thay phương pháp bảo mật truyền thống mà để hồn thiện 2.1.3: Ưu nhược điểm IDS a, Ưu điểm: o Thích hợp sử dụng để thu thập số liệu, giúp kiểm tra cố xảy hệ thống mạng với chứng thuyết phục o Đem đến nhìn bao qt tồn diện tồn hệ thống mạng o Là cơng cụ thích hợp để thu thập chứng phục vụ cho việc kiểm tra cố hệ thống mạng b, Nhược điểm: o Nếu khơng cấu hình hợp lý dễ gây tình trạng báo động nhầm o Khả phân tích lưu lượng mã hóa tương đối thấp o Chi phí triển khai, phát triển vận hành hệ thống tương đối lớn 2.1.4: Phân biệt hệ thống IDS Có nhiều thiết bị, cơng cụ bị nhầm tưởng IDS, cần phân biệt rõ để tránh nhầm lẫn Cụ thể, thiết bị bảo mật IDS: Hệ thống ghi nhật ký mạng sử dụng để phát lỗ hổng công từ chối dịch vụ (DoS) mạng bị tắc nghẽn Đây hệ thống giám sát traffic (lưu lượng liệu) mạng Các công cụ đánh giá lỗ hổng, dùng để kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng (các quét bảo mật) Các phần mềm diệt virus thiết kế để phát phần mềm nguy hiểm virus, Trojan horse, worm, logic bomb Mặc dù tính mặc định giống hệ thống phát xâm nhập thường cung cấp công cụ phát vi phạm bảo mật hiệu quả, xét tổng thể chúng IDS Tường lửa: Dù nhiều tưởng lửa đại tích hợp sẵn IDS, IDS khơng phải tường lửa Các hệ thống bảo mật/mật mã, ví dụ VPN, SSL, S/MIME, Kerberos, Radius 2.2: Các thành phần IDS IDS bao gồm thành phần chính: thành phần thu thập gói tin (Information collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response) gói tin phát cơng 2.2.1: Thành phần thu thập gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng hủy bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng chụp, xử lí, phân tích đến trường thơng tin Bộ phận thu thập gói tin đọc thơng tin trường, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì, Các thơng tin chuyển đến phần phát hiện, phân tích 2.2.2: Thành phần phân tích gói tin Ở thành phần này, cảm biến đóng vai trị định Vai trị cảm biến dùng để lọc thông tin loại bỏ thơng tin liệu khơng tương thích đạt từ kiện liên quan đến hệ thống bảo vệ, phát hành động nghi ngờ 2.2.3: Thành phần phản hồi Khi có dấu hiệu cơng thâm nhập, thành phần phân tích gửi tín hiệu có công thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tưởng lửa ngăn chặn công hay cảnh báo tới người quản trị Thành phần phân tích gói tin quan trọng thành phần cảm biến đóng vai trị định Bộ cảm biến tích hợp với thành phần sưu tập liệu tạo kiến Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Vai trò cảm biến dùng để lọc thơng tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết Thêm vào đó, sở liệu tham số cấu hình, gồm chế độ truyền thơng với module đáp trả Bộ cảm biến có sơ sở liệu riêng 2.3: Cơ chế hoạt động IDS 2.3.1: Các nhiệm vụ cần phải thực Nhiệm vụ IDS phịng chống cho hệ thống máy tính cách phát dấu hiệu cơng đẩy lùi Việc phát cơng phụ thuộc vào số lượng kiểu hành động thích hợp (Hình dưới) Để ngăn chặn xâm nhập tốt cần phải kết hợp tốt “bả bẫy” trang bị cho việc nghiên cứu mối đe dọa Việc làm lệch hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng khác Cả hệ thống thực hệ thống bẫy cần phải kiểm tra cách liên tục Dữ liệu tạo hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công (sự xâm nhập) Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đơi đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua emai 2.3.2: Nguyên lí hoạt động Sau thu thập xong liệu, IDS so khớp lưu lượng mạng với mẫu lưu lượng có sẵn công mạng khác (phương pháp thường gọi tương quan mẫu – Pattern Correlation) Thông qua phương pháp này, hệ thống IDS xác định xem hoạt động bất thường có phải dấu hiệu công hay không Một host tạo gói tin mạng Các cảm biến mạng đọc gói tin khoảng thời gian trước gửi khỏi mạng cục (cảm biến cần phải đặt cho đọc tất gói tin) Chương trình phát nằm cảm biến kiểm tra xem có gói tin có dấu hiệu vi phạm hay khơng Khi có dấu hiệu vi phạm cảnh báo tạo gửi đến giao diện điều khiển Khi giao diện điều khiển lệnh nhận cảnh báo gửi thơng báo cho người nhóm định từ trước (thông qua email, cửa sổ popup, trang web v.v…) Phản hồi khởi tạo theo quy định ứng với dấu hiệu xâm nhập Các cảnh báo lưu lại để tham khảo tương lai (trên địa cục sở liệu) Một báo cáo tóm tắt chi tiết cố tạo Cảnh báo so sánh với liệu khác để xác định xem có phải cơng hay khơng 2.3.3: Các kỹ thuật xử lí sử dụng IDS Hệ thống phát xâm nhập (IDS) hoạt động thông qua chế sau: phát dựa chữ ký, phát dựa bất thường phân tích giao thức trạng thái Trong phần xem xét chi tiết phương pháp a) Phát dựa chữ ký (Signature-based instruction detection) Đây phương pháp thiết kế để tìm nguy hiểm tiềm tàng cách so sánh dung lượng mạng nhật ký liệu với mẫu cơng có sẵn hệ thống Những mẫu gọi chuỗi (sequence) bao gồm chuỗi byte, gọi chuỗi lệnh độc hại Phát dựa chữ ký cho phép quản trị viên nhanh chóng phát cơng vào mạng - Cơ chế bảo vệ khỏi mối đe dọa biết Ví dụ như: Mệt e-mail có tệp đính kèm chứa phần mềm độc hại biết với chủ đề lạ (ví dụ: email có chủ đề “ Hello”) Tài khoản “người quản trị” thực đăng nhập nơi lạ, chắn vi phạm sách cơng ty Phát dựa chữ ký hình thức phát đơn giản so sánh lưu lượng truy cập với sở liệu chữ ký Nếu tìm thấy kết phù hợp cảnh báo tạo, khơng tìm thấy kết phù hợp lưu lượng truy cập khơng có vấn đề Tuy nhiên với chế này, IDS phát mối đe dọa biết đó, khơng hiệu việc phát mối đe dọa chưa biết Để phát công, việc khớp chữ ký phải xác, khơng thay đổi đổi nhỏ hệ thống Ví dụ mã độc với chủ đề “Hello” cần bỏ ký tự “o” trở thành “Hell”, hệ thống khơng phát cho mã độc xâm nhập Cơ sở liệu chữ ký cần cập nhật liên tục, gần hàng ngày từ phòng nghiên cứu chống virus McAfee, Synmantec,… nhà cung cấp bảo mật khác Nếu chữ ký khơng cập nhật, hệ thống IDS không phát số công xâm nhập b) Phát dựa bất thường (Anomaly-based intrusion detection ) thiết kế để xác định công không xác định, chẳng hạn phần mềm độc hại thích ứng với chúng cách sử dụng máy học Thông qua kỹ thuật máy học cho phép Hệ thống phát xâm nhập (IDS) tạo đường sở mơ hình tin cậy, sau so sánh hành vi với mơ hình tin cậy xác minh Cảnh báo giả xảy sử dụng IDS dựa bất thường, lưu lượng mạng hợp pháp chưa biết đến trước bị xác định sai hoạt động độc hại Hồ sơ sở tạo cách cho phép hệ thống IDS tìm hiểu lưu lượng truy cập khoảng thời gian để IDS nghiên cứu hành vi lưu lượng truy cập cao điểm, cao điểm, ban đêm, làm việc đầu giờ,… Sau tìm hiểu, lưu lượng nghiên cứu cập nhập tạo hồ sơ sở Khi IDS chuyển từ chế độ học tập sang chế độ phát hiện/ ngăn chặn, sử dụng liệu từ hồ sơ để so sánh với dấu hiệu bất thường, có cảnh báo kích hoạt Một số ví dụ hành vi bất thường: - Quá nhiều Telnet ngày Lưu lượng truy cập HTTP cổng biến động mạnh Lưu lượng truy cập SNMP liên tục Thách thức phương pháp dựa bất thường tạo hồ sơ hiệu Sau khoảng thời gian, hồ sơ cập nhật trở thành thức, IDS chuyển sang chế độ phát có gói tin đến so với hồ sơ sở Vì có hoạt động độc hại tồn từ đầu IDS chế độ học tập, tạo hồ sơ sở, hoạt động trở thành phần hồ sơ khơng bị phát c) Phát phân tích giao thức trạng thái (Stateful Protocol Analysis Detection) Phương pháp tương tự phát dựa bất thường, ngoại trừ việc cấu hình tạo nhà cung cấp thiết bị cảm biến Các cấu hình xác định trước tạo thành từ hoạt động lưu lượng mạng lành tính chấp nhận chung theo quy định tiêu chuẩn “Trạng thái” có nghĩa IDS có khả theo dõi trạng thái giao thức lớp mạng lớp ứng dụng Ví dụ, trường hợp trạng thái thiết lập kết nối TCP, IDS phải nhớ tất trạng thái kết nối Tương tự, trường hợp xác thực, phiên kết nối ban đầu trạng thái không phép IDS cần ghi nhớ trạng thái Sau trao đổi số thông tin bên, máy khách máy chủ, người dùng xác thực phép truy cập vào mạng Trong giai đoạn này, lưu lượng truy cập an toàn IDS nên ghi nhớ để không dẫn đến kết dương tính giả Phương pháp phát trạng thái bất thường giao thức sử dụng cấu hình tạo dựa tiêu chuẩn thông số kỹ thuật nhà cung cấp định, người thường tuân thủ hầu hết quan tiêu chuẩn Nếu nhà cung cấp triển khai giao thức, với thay đổi tiêu chuẩn, điều gây khó khăn cho IDS việc phát phân tích trạng thái Trong lúc vậy, mơ hình giao thức IDS cần cập nhật để thay đổi giao thức phù hợp Hạn chế chế chúng tốn nhiều quy trình nhớ giống nhiều giao thức, IDS phải theo dõi trạng thái chúng đồng thời Một vấn đề khác công nằm hành vi giao thức chấp nhận chung, qua Nếu việc triển khai giao thức khác hệ điều hành IDS không hoạt động tốt việc phát xâm nhập 2.4: So sánh IDS với Firewall IPS Nếu tìm hiểu sơ qua IDS gì, khơng người lầm tưởng IDS với IPS tường lửa Thế xét quy mô hoạt động, chế có khác biệt, tường lửa hay IPS chưa thể đáp ứng yêu cầu bảo mật, chống lại công quy mô lớn 2.4.1: IDS Firewall + Tường lửa xem xét quy tắc kiểm soát Một packet cho phép từ chối Quy tắc nên cho phép máy chủ hay mạng, ứng dụng vào mạng đáng tin cậy hay không Một tường lửa phải kiểm tra tiêu đề giao thức TCP/IP FTP, HTTP Telnet Tuy nhiên, khơng kiểm tra nội dung liệu packet mạng Ngay liệu chức mã độc, tường lửa cho phép packet qua tiêu đề tuân thủ quy tắc cấu hình tường lửa Do đó, bạn có tường lửa mạng lưới bạn bị xâm nhập + IDS kiểm tra nội dung packet thông qua mạng để phát hoạt động độc hại Mọi packet bóc tách tới phần “nội dung liệu” để kiểm tra xem có mã độc không packet ráp lại thành dạng ban đầu gửi Như bạn thấy, packet mổ xẻ sau lắp ráp trở lại tầng ba, điều làm cho IDS trở nên mạnh so sánh với tường lửa Tường lửa thành phần thiếu cấu trúc liên kết bảo mật mạng tổng thể riêng tường lửa thơi khơng đủ Hầu hết mạng đại có IDS phần thiết yếu kiến trúc bảo mật 2.4.2: IDS IPS + Hệ thống chống xâm nhập (IPS) sử dụng để ngăn chặn xâm nhập Đó phần mở rộng IDS IDS phát IPS bảo vệ mạng khỏi xâm nhập cách thả packet, từ chối nhập vào packet chặn kết nối IPS IDS giám sát lưu lượng mạng hoạt động độc hại IPS coi phần mở rộng IDS Sự khác biệt IPS đặt inline để ngăn chặn xâm nhập IPS đưa định bỏ packet đặt lại kết nối với việc gửi cảnh báo đến bảng điều khiển quản lý IPS phát hiện/sửa chữa packet bị phân mảnh, lỗi kiểm dư thừa theo chu kỳ (CRC) vấn đề xếp TCP + Sự khác IDS IPS: - IDS: Phân tích giám sát lưu lượng mạng để tìm dấu hiệu cơng mạng Hệ thống so sánh hoạt động mạng với CSDL sẵn có để xác định hành vi đáng ngờ như: vi phạm sách, malware hay port scanner - IPS: Nằm khu vực với firewall sở hạ tầng (giữa môi trường bạn mạng trong) IPS chủ động chặn lưu lượng dựa cấu hình bảo mật cụ thể PHÂN 3: PHÂN LOẠI CÁC HỆ THỐNG IDS Có nhiều loại IDS khác nhau, loại có chức nhiệm vụ riêng IDS gồm loại NIDS HIDS 3.1: Network-based Instruction Detection System (NIDS) NIDS (Network Intrusion Detection System): Hệ thống phát xâm nhập mạng, hệ thống tập hợp gói tin để phân tích sâu bên nhằm xác định mối đe dọa tiềm tàng mà khơng làm thay đổi cấu trúc gói tin Nó kiểm tra packet xâm nhập vào mạng để đảm bảo khơng chứa nội dung độc hại NIDS liên tục giám sát lưu lượng mạng Lưu lượng truy cập so sánh với cấu hình biết có bất thường tìm thấy lưu lượng truy cập NIDS kích hoạt cảnh báo cho bảng điều khiển quản lý Một sensor (như hình dưới) triển khai chế độ hỗn tạp chế độ inline giám sát/bảo vệ số máy chủ mạng NIDS bảo vệ mạng từ quan điểm mạng tài ngun Ví dụ, NIDS phát công thám, công từ chối dịch vụ (DoS) cấp dộ mạng NIDS tạo cảnh báo phát công NIDS giải pháp phần cứng/phần mềm đặt gần tường lửa thiết bị độc lập có hệ điều hành mạng (TCP/IP) Các sensor có giao diện để giám sát mạng giao diện quản lý sử dụng để kiểm soát gửi cảnh báo đến điều khiển quản lý trung tâm Kiến trúc chung NIDS dựa máy chủ (NIDS) Cấu trúc hoạt động NIDS vị trí mạng 3.1.1: Ưu điểm NIDS Quản lý network segment (gồm nhiều host) NIDS tạo an toàn trước cơng chí vơ hình nhiều kẻ cơng Việc triển khai NIDS có ảnh hưởng đến mạng có NIDS thường thiết bị thụ động nghe dây mạng mà không can thiệp vào hoạt động bình thường Tránh DOS ảnh hưởng tới host Có khả xác định lỗi tầng Network Độc lập với OS 3.1.2: Nhược điểm NIDS Không thể phân tích liệu mã hóa (VD: SSL, SSH, IPSec ) NIDS đòi hỏi phải cập nhật signature để thực an toàn Có độ trễ thời điểm bị cơng với thời điểm phát báo động Khi báo động phát hiện, hệ thống bị tổn hại Khơng cho biết việc cơng có thành cơng hay không Hạn chế lớn giới hạn băng thơng Những dị mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên khả đầu dị phải tăng theo 3.2: Host-based Instruction Detection System (HIDS) HIDS (Host-based Intrusion Detection System): Hệ thống phát xâm nhập máy chủ, cài đặt trực tiếp máy tính cần theo dõi HIDS giám sát lưu lượng đến từ thiết bị để cảnh báo người dùng xâm nhập trái phép Nó liên tục giám sát nhật ký kiện, nhật ký hệ thống, nhật ký ứng dụng, thực thi sách người dùng, phát rootkit, tính tồn vẹn tệp xâm nhập khác vào hệ thống Nó liên tục theo dõi ghi tạo baseline Nếu mục nhập nhật ký xuất hiện, HIDS kiểm tra liệu dựa baseline có mục nhập tìm thấy bên ngồi baseline này, HIDS kích hoạt cảnh báo Nếu phát hoạt động trái phép nào, HIDS cảnh báo người dùng chặn hoạt động thực định khác dựa sách người dùng cấu hình hệ thống Hầu hết sản phẩm HIDS có khả ngăn chặn cơng Tuy nhiên, ban đầu triển khai chế độ cửa sổ sau hiểu hoạt động hệ thống, baseline hình thành sau HIDS triển khai chế độ ngăn chặn Chức HIDS phụ thuộc vào nhật ký tạo hệ thống thực tế kẻ xâm nhập để lại chứng hoạt động họ Thông thường, tin tặc có quyền truy cập vào hệ thống cài đặt công cụ độc hại để truy cập tương lai chúng trở nên dễ dàng Nếu cơng cụ thay đổi cấu hình hệ điều hành, mục nhập số windows registry, cập nhật vào hệ thống/nhật ký kiện, kích hoạt cảnh báo hệ thống HIDS Kiến trúc chung IDS dựa máy chủ (HIDS) Cấu trúc hoạt động HIDS vị trí mạng: 3.2.1: Ưu điểm HIDS Xác minh thành công hay thất bại cơng: Vì HIDS sử dụng nhật ký hệ thống chứa kiện xảy ra, chúng xác định liệu cơng có xảy hay không Theo dõi hoạt động Hệ thống: Một cảm biến HIDS giám sát hoạt động truy cập tệp người dùng bao gồm truy cập tệp, thay đổi quyền tệp, cài đặt tệp thực thi mới, v.v Phát công mà NIDS không phát được: Các hệ thống dựa máy chủ phát công mà cảm biến NIDS không phát Ví dụ: người dùng trái phép thực thay đổi tệp hệ thống từ bảng điều khiển hệ thống, kiểu cơng không cảm biến mạng ý Phát phản hồi gần thời gian thực: Mặc dù HIDS không cung cấp phản hồi thời gian thực thực sự, gần triển khai cách Chi phí đầu vào thấp hơn: Cảm biến HIDS rẻ nhiều so với cảm biến NIDS 3.2.2: Nhược điểm HIDS HIDS khó quản lí phải định cấu hình quản lí cho máy chủ Thơng tin từ HIDS không đáng tin cậy công vào host thành công HIDS không phù hợp để phát quét mạng giám sát khác nhắm mục tiêu toàn mạng HIDS bị vơ hiệu hóa số công từ chối dịch vụ 3.3: Một số hệ thống IDS khác Hệ thống phát xâm nhập dựa chữ ký (SIDS) giám sát tất gói truyền qua mạng so sánh chúng với sở liệu chữ ký công thuộc tính mối đe dọa độc hại biết, giống phần mềm chống Virus Hệ thống phát xâm nhập dựa giao thức ứng dụng (APIDS) Hệ thống phát xâm nhập dựa giao thức (PIDS) 3.4: Các ứng dụng IDS phổ biến * Snort: Snort, có sẵn cho Windows, Fedora, Centos FreeBSD, hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở, có khả thực phân tích lưu lượng thời gian thực ghi nhật ký gói mạng IP Nó thực phân tích giao thức, tìm kiếm đối sánh nội dung, đồng thời sử dụng để phát nhiều loại cơng thăm dị, chẳng hạn tràn đệm (buffer overflow), quét cổng ẩn, cơng CGI, nỗ lực OS fingerprinting (q trình tin tặc trải qua để xác định loại hệ điều hành sử dụng máy tính nhắm mục tiêu), v.v * Suricata: Suricata gói mã nguồn mở cung cấp khả phát hiện, ngăn chặn xâm nhập giám sát mạng thời gian thực Suricata sử dụng quy tắc, ngôn ngữ chữ ký, v.v để phát mối đe dọa phức tạp Suricata có sẵn cho Linux, macOS, Windows tảng khác Phần mềm miễn phí có số kiện đào tạo cơng khai có tính phí lên lịch hàng năm để đào tạo nhà phát triển Các kiện đào tạo chuyên dụng có sẵn từ Open Information Security Foundation (OISF), tổ chức sở hữu code Suricata * Zeek: Trước gọi Bro, Zeek cơng cụ phân tích mạng mạnh mẽ tập trung vào giám sát an ninh phân tích lưu lượng mạng nói chung Ngơn ngữ dành riêng cho domain Zeek không dựa chữ ký truyền thống Thay vào đó, Zeek ghi lại thứ thấy kho lưu trữ hoạt động mạng cấp cao Zeek hoạt động với Unix, Linux, Free BSD Mac OS X * Prelude OSS: Prelude OSS phiên mã nguồn mở Prelude Siem, hệ thống phát xâm nhập sáng tạo thiết kế theo kiểu mơ-đun, phân tán, đáng tin cậy nhanh chóng Prelude PMNM phù hợp với sở hạ tầng CNTT quy mô hạn chế, tổ chức nghiên cứu đào tạo Nó khơng dành cho mạng kích thước lớn quan trọng Hiệu suất Prelude OSS bị hạn chế đóng vai trị phần giới thiệu cho phiên thương mại * Malware Defender Malware Defender hệ thống phát xâm nhập máy chủ (HIDS), theo dõi host để tìm hoạt động đáng ngờ Đây hệ thống phát phần mềm độc hại ngăn chặn xâm nhập tương thích với Windows, miễn phí dành cho người dùng nâng cao Malware Defender trình phát rootkit tiên tiến, với nhiều cơng cụ hữu ích để phát loại bỏ phần mềm độc hại cài đặt sẵn Malware Defender phù hợp để sử dụng nhà, tài liệu hướng dẫn phức tạp Hệ thống phát xâm nhập máy chủ chạy host thiết bị mạng Chúng giám sát gói gửi đến từ thiết bị, cảnh báo cho người dùng quản trị viên phát hoạt động đáng ngờ PHẦN 4: KẾT LUẬN Có thể nói, IDS công cụ phát xâm nhập sử dụng nhiều Trong thời đại bùng nổ cơng nghệ số việc trang bị IDS cho doanh nghiệp việc cấp thiết thiết thực để bảo vệ doanh nghiệp khỏi nguy tiềm ẩn hệ thống Tuy nhiên, IDS bị cơng vào hệ thống khi: - Từ chối dịch vụ (DoS): IDS hoàn toàn có khả bị từ chối dịch vụ nhằm tiêu tốn tài nguyên hệ thống (bộ nhớ, CPU, băng thông mạng, ) - Tấn công đánh lừa IDS: việc sử dụng kỹ thuật can thiệp, thay đổi cấu trúc gói tin để đánh giá khả xử lý IDS kiểu liệu đầu vào ... phát Hệ thống phát xâm nhập hệ thống phần mềm phần cứng có khả tự động theo dõi phân tích để phát dấu hiệu xâm nhập 2.1.2: IDS (Intrusion Detection System) Hệ thống phát xâm nhập – IDS hệ thống. .. nhằm phát hiện tượng bất thường, hoạt động xâm nhập trái phép vào hệ thống cảnh báo cho hệ thống, nhà quản trị Tấn công bên (từ nội bộ) Tấn cơng bên ngồi (từ hacker) Hệ thống phát xâm nhập. .. mật hệ thống máy tính hay mạng Việc xâm nhập xuất phát từ kẻ cơng mạng Internet nhằm giành quyền truy cập hệ thống, người dùng cấp phép hệ thống muốn chiếm đoạt quyền khác mà họ chưa cấp phát Hệ