Triển khai hệ thống phát hiện xâm nhập ids (intrusion detection systems) trên nền tảng zeek

Mục đích và ý nghĩa của đề tài

Mục đích

- Tìm hiểu và triển khai zeek trên môi trường ảo hóa, phân tích cơ bản các dữ liệu nhật ký mà ZEEK đã thu thập được:

- Tìm hiểu các chức năng của hệ thống monitor.

- Tìm hiểu các chức năng của hệ thống ZEEK.

Triển khai hệ thống trên môi trường ảo nhằm đảm bảo các chính sách và nguyên tắc bảo mật cho hệ thống mạng, giúp chống lại các nguy cơ và thách thức từ tội phạm không gian mạng.

Đối tượng nghiên cứu

Ngôn ngữ biên dịch ZEEK bằng Python

Hệ điều hành Ubuntu chạy trên máy ảo Vmware Workstation phiên bản 20.4

Tìm hiểu hệ thống Intrusion Detection Systems (IDS):

Tổng quan kiến trúc phân loại và 1 số mô hình đấu nối của IDS

Hệ thống IDS trên nền tảng ZEEK cung cấp một cái nhìn tổng quan và kiến trúc chi tiết về cách thức hoạt động của nó Việc triển khai IDS ZEEK bao gồm sơ đồ triển khai rõ ràng, quy trình triển khai và các bước kiểm thử cần thiết để đảm bảo hiệu suất tối ưu.

Phạm vi nghiên cứu

Khái niệm phát hiện xâm nhập (IDS) đã được giới thiệu bởi James Anderson cách đây khoảng 25 năm, nhằm dò tìm và nghiên cứu hành vi bất thường trong mạng, cũng như phát hiện lạm dụng quyền hạn để bảo vệ tài sản hệ thống Các nghiên cứu về IDS bắt đầu từ năm 1983 đến 1988 và được áp dụng tại mạng máy tính của không lực Hoa Kỳ Tuy nhiên, đến năm 1996, khái niệm IDS vẫn chưa phổ biến, với nhiều hệ thống chỉ xuất hiện trong phòng thí nghiệm Sự bùng nổ công nghệ thông tin đã thúc đẩy sự phát triển của IDS, và đến năm 1997, IDS trở nên nổi bật nhờ công ty ISS Năm 1998, Cisco đã nhận ra tầm quan trọng của IDS và mua lại công ty cung cấp giải pháp IDS là Wheel.

Hệ thống phát hiện xâm nhập (IDS) là thiết bị hoặc phần mềm giám sát lưu lượng mạng và hành vi đáng ngờ, nhằm cảnh báo cho quản trị viên hệ thống IDS có nhiệm vụ phát hiện và ngăn chặn các hành động phá hoại an ninh, cũng như các hoạt động trong quá trình tấn công như dò tìm và quét cổng Hệ thống này có khả năng phân biệt giữa tấn công nội bộ từ nhân viên hoặc khách hàng và tấn công từ bên ngoài, như hacker Trong một số trường hợp, IDS có thể phản ứng với lưu lượng bất thường hoặc độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.

1.1.1 Mục Đích Của IDS

Hệ thống phát hiện xâm nhập (IDS) là một giải pháp phần cứng hoặc phần mềm tự động theo dõi sự kiện, giám sát lưu lượng mạng và cảnh báo cho quản trị viên về các hoạt động khả nghi.

HỆ THỐNG INTRUSION DETECTION SYSTEM (IDS)

TỔNG QUAN VỀ IDS

Khái niệm phát hiện xâm nhập (IDS) được giới thiệu lần đầu bởi James Anderson cách đây khoảng 25 năm, nhằm mục đích dò tìm và nghiên cứu hành vi bất thường của người sử dụng trong mạng để giám sát tài sản hệ thống Nghiên cứu về IDS đã diễn ra từ năm 1983 đến 1988 trước khi được áp dụng trong mạng máy tính của không lực Hoa Kỳ Tuy nhiên, cho đến năm 1996, khái niệm IDS vẫn chưa phổ biến và chỉ xuất hiện trong các phòng thí nghiệm Sự phát triển của công nghệ thông tin đã thúc đẩy sự ra đời của một số hệ thống IDS mới Đến năm 1997, IDS bắt đầu được biết đến rộng rãi, với sự dẫn đầu của công ty ISS, và một năm sau, Cisco nhận ra tầm quan trọng của IDS và mua lại công ty Wheel cung cấp giải pháp IDS.

Hệ thống phát hiện xâm nhập (IDS) là thiết bị hoặc phần mềm giám sát lưu lượng mạng và các hành vi đáng ngờ, nhằm cảnh báo cho quản trị viên hệ thống Mục tiêu chính của IDS là phát hiện và ngăn chặn các hành động phá hoại an ninh, cũng như các hoạt động tấn công như dò tìm và quét cổng IDS có khả năng phân biệt giữa các cuộc tấn công nội bộ từ nhân viên hoặc khách hàng và tấn công từ bên ngoài, như hacker Trong một số tình huống, IDS có thể phản ứng với lưu lượng bất thường hoặc độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.

1.1.1 Mục Đích Của IDS

Hệ thống phát hiện xâm nhập (IDS) là một giải pháp phần cứng hoặc phần mềm, có nhiệm vụ tự động giám sát các sự kiện xảy ra và theo dõi lưu lượng mạng, nhằm cảnh báo cho người quản trị về các hoạt động khả nghi.

Hình sau minh họa các vị trí thường cài đặt IDS trong mạng.

Mục đích của Hệ thống phát hiện xâm nhập (IDS) là phát hiện và ngăn chặn các hành động phá hoại bảo mật hệ thống, bao gồm cả việc dò tìm và quét cổng IDS có khả năng phân biệt giữa các cuộc tấn công nội bộ từ nhân viên hoặc khách hàng và các cuộc tấn công bên ngoài từ hacker Trong một số trường hợp, IDS có thể phản ứng với các lưu lượng truy cập bất thường hoặc độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.

1.1.2 Các Hệ Thống Không Phải IDS

Có nhiều thiết bị, công cụ bị nhầm tưởng là IDS, Cụ thể, các thiết bị bảo mật dưới đây không phải là IDS:

Hệ thống ghi nhật ký mạng đóng vai trò quan trọng trong việc phát hiện các lỗ hổng liên quan đến các cuộc tấn công từ chối dịch vụ (DoS) trên mạng đang bị tắc nghẽn Những hệ thống này giúp theo dõi và phân tích lưu lượng mạng, từ đó nhận diện các dấu hiệu bất thường và bảo vệ mạng khỏi những mối đe dọa tiềm ẩn.

Hình 1.1 Các vị trí đặt IDS trong mạng.

Phần mềm diệt virus được phát triển để phát hiện các phần mềm độc hại như virus, Trojan horse, worm và logic bomb Mặc dù các tính năng mặc định của chúng có thể tương tự như hệ thống phát hiện xâm nhập (IDS) và cung cấp công cụ phát hiện vi phạm bảo mật hiệu quả, nhưng tổng thể, chúng không thể thay thế cho IDS.

Tường lửa: Dù nhiều tưởng lửa hiện đại được tích hợp sẵn IDS, nhưng IDS không phải là tường lửa.

Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius

1.1.3 Phân Loại Tấn Công Mạng

Các loại tấn công được phân thành hai loại như sau:

Bị động đề cập đến việc được trang bị để tăng mức truy cập, cho phép thâm nhập vào hệ thống mà không cần sự đồng ý của tài nguyên CNTT.

Các tấn công mạng có thể gây ra những thay đổi trạng thái không hợp lệ đối với tài nguyên CNTT, dẫn đến những hậu quả nghiêm trọng Trong mối quan hệ giữa nạn nhân và kẻ xâm nhập, các cuộc tấn công này được phân loại rõ ràng.

Bên trong, những tấn công này đến từ chính các nhân viên của công ty, đối tác làm ăn hoặc khách hàng.

Các tấn công từ bên ngoài thường diễn ra qua Internet và có thể được phân loại theo nguồn gốc, bao gồm cả các hệ thống nội bộ và các nguồn từ xa Để hiểu rõ hơn về các loại tấn công có thể bị phát hiện bởi công cụ IDS, chúng ta cần phân loại chúng vào một chuyên mục đặc biệt Dưới đây là những loại tấn công có thể được phân biệt.

Tấn công do thám (Reconnaissance attack)

Trước khi tiến hành tấn công, kẻ trộm thường thăm dò và quan sát ngôi nhà để tìm hiểu các điểm sơ hở Tương tự, trong tấn công mạng, hacker thực hiện việc thu thập thông tin về hệ thống mục tiêu bằng cách sử dụng kỹ thuật ping sweep để xác định các địa chỉ IP hoạt động Sau đó, họ kiểm tra các dịch vụ đang chạy và các cổng mở trên những địa chỉ IP đó bằng công cụ như Nmap và ZenMap Để thu thập thông tin chi tiết hơn về hệ thống, hacker còn sử dụng công cụ chặn bắt gói tin và bộ quét cổng.

Truy vấn thông tin Internet.

Tấn công truy cập (Access attack)

Tấn công truy cập thường khai thác lỗ hổng trong hệ thống của nạn nhân, bao gồm các lỗ hổng trong dịch vụ xác thực, FTP và web Sau khi khai thác thành công, kẻ tấn công có thể truy cập vào tài khoản web, cơ sở dữ liệu và dữ liệu nhạy cảm khác Các hình thức tấn công này rất đa dạng, nhưng điểm chung là kẻ tấn công thường sử dụng từ điển để đoán mật khẩu.

- Tấn công tràn bộ đệm.

- Tấn công kiểu kẻ đứng giữa.

- Tấn công lợi dụng sự tin cậy giữa các hệ thống (trust exploitation).

Tấn công từ chối dịch vụ (DoS)

Kiểu tấn công này, thường được biết đến, diễn ra khi kẻ tấn công gửi một lượng lớn yêu cầu vượt quá khả năng xử lý của hệ thống nạn nhân, dẫn đến việc hệ thống ngừng hoạt động Kết quả là, hệ thống không thể phục vụ các yêu cầu hợp lệ từ người dùng.

Làm lụt (Flooding) là hành động gửi một số lượng lớn thông tin không giá trị nhằm thỏa hiệp hệ thống, gây tắc nghẽn lưu lượng và ảnh hưởng đến dịch vụ.

Ping (Smurf) – một số lượng lớn các gói ICMP được gửi đến một địa chỉ quảng bá.

Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các message trong một thời điểm ngắn.

SYN là một phương thức tấn công trong đó kẻ tấn công khởi tạo nhiều yêu cầu TCP mà không thực hiện quá trình bắt tay đầy đủ, gây ảnh hưởng đến dịch vụ phân tán từ nhiều nguồn khác nhau Hành động này có thể dẫn đến việc tổn hại hệ thống bằng cách khai thác các lỗ hổng bảo mật Một ví dụ điển hình là tấn công tràn bộ đệm, như "Ping of Death", khi kẻ tấn công gửi một lượng lớn gói ICMP vượt quá 64KB.

Tắt hệ thống từ xa và tấn công ứng dụng web có thể gây ra những rủi ro nghiêm trọng, đặc biệt là khi lợi dụng các lỗi trong ứng dụng Những lỗ hổng này nếu không được khắc phục kịp thời có thể dẫn đến các cuộc tấn công nguy hiểm, ảnh hưởng đến an toàn dữ liệu và hoạt động của hệ thống.

Các kiểu tấn công từ chối dịch vụ:

- Volume Based Attacks- nó bao gồm UDP floods, ICMP floods Mục đích của nó là làm cho băng thông của website luôn ở mức tối đa.

KIẾN TRÚC IDS

Hệ thống phát hiện xâm nhập (IDS) là thiết bị hoặc phần mềm có chức năng giám sát lưu lượng mạng và phát hiện các hành vi đáng ngờ, đồng thời gửi cảnh báo cho quản trị viên hệ thống.

Hệ thống phát hiện xâm phạm (IDS) là một công cụ quan trọng trong việc bảo vệ mạng, có chức năng phát hiện và ngăn chặn các hành động tấn công nhằm vào hệ thống IDS cung cấp thông tin nhận diện về các hành động bất thường, đồng thời gửi cảnh báo cho quản trị viên mạng để khóa các kết nối đang tấn công Hệ thống này có khả năng phân biệt giữa các tấn công nội bộ từ nhân viên hoặc khách hàng và các tấn công bên ngoài từ hacker Bằng cách giám sát lưu lượng truy cập mạng và phát hiện hoạt động nghi ngờ, IDS phối hợp hiệu quả với tường lửa và phần mềm diệt virus, tạo thành một hệ thống bảo mật toàn diện.

Hệ thống phát hiện xâm nhập (IDS) đóng vai trò thiết yếu trong bảo mật mạng, giúp nâng cao hiệu quả bảo vệ thông qua việc phát hiện sớm các hoạt động bất thường.

Hệ thống IDS bao gồm ba thành phần chính: thu thập gói tin, phân tích gói tin và phản hồi Trong đó, phân tích gói tin là thành phần quan trọng nhất, với bộ cảm biến đóng vai trò quyết định Việc phân tích bộ cảm biến giúp hiểu rõ hơn về kiến trúc của hệ thống phát hiện xâm nhập.

Hình1.2 Kiến trúc của một hệ thống phát hiện xâm nhập

Bộ cảm biến tích hợp với thành phần thu thập dữ liệu sự kiện, xác định chế độ lọc thông tin dựa trên chính sách tạo sự kiện, từ đó cung cấp các chính sách phù hợp cho hệ thống, mạng và ứng dụng Vai trò của bộ cảm biến là lọc thông tin và loại bỏ dữ liệu không tương thích, giúp phát hiện các hành động nghi ngờ thông qua cơ sở dữ liệu chính sách Ngoài ra, các thành phần như dấu hiệu tấn công, hồ sơ hành vi thông thường và các tham số cấu hình cũng đóng vai trò quan trọng Hệ thống phát hiện xâm phạm (IDS) có thể được triển khai tập trung hoặc phân tán, với IDS phân tán bao gồm nhiều hệ thống tương tác trên mạng lớn Các tác nhân trong IDS có nhiệm vụ kiểm tra và lọc hành động trong vùng bảo vệ, đồng thời báo cáo về máy chủ phân tích trung tâm Giải pháp kiến trúc đa tác nhân AAFID, được giới thiệu năm 1994, sử dụng các tác nhân để giám sát hành vi hệ thống và phát hiện các hoạt động bất thường Các tác nhân có khả năng tự động hóa và tương tác giữa các hệ thống, cho phép thu thập và phân tích dữ liệu một cách hiệu quả.

Hình 1.3 Giải pháp kiến trúc đa tác nhân

Trước khi cài đặt hệ thống IDS, cần thiết lập một chính sách để phát hiện kẻ tấn công và quy trình xử lý khi phát hiện hoạt động tấn công Chính sách này cần bao gồm các phần cơ bản và có thể điều chỉnh theo yêu cầu cụ thể của từng hệ thống.

Hệ thống IDS cần được giám sát bởi người quản trị, tùy thuộc vào cơ chế cảnh báo của từng IDS Các cảnh báo có thể là văn bản đơn giản hoặc phức tạp, tích hợp vào các hệ thống quản lý mạng như HP Open View hoặc My SQL Người quản trị phải theo dõi các hoạt động xâm nhập và thực hiện các chính sách liên quan, với khả năng nhận thông báo theo thời gian thực qua cửa sổ pop-up hoặc giao diện web Kiến thức về cảnh báo và mức độ an toàn của hệ thống là điều cần thiết cho các nhà quản trị.

Ai sẽ điều hành IDS? Như với tất cả các hệ thống IDS cần được được bảo trì thường xuyên.

Ai sẽ xử lý các sự cố và như thế nào? Nếu các sự cố không được xử lý thì IDS xem như vô tác dụng.

Các báo cáo có thể được tạo và hiển thị vào cuối ngày hoặc cuối tuần hoặc cuối tháng.

Các hacker liên tục phát triển các kỹ thuật tấn công mới nhằm vào hệ thống Hệ thống IDS đóng vai trò quan trọng trong việc phát hiện các cuộc tấn công này thông qua việc nhận diện các dấu hiệu tấn công.

Tài liệu đóng vai trò quan trọng trong các dự án, đặc biệt là khi mô tả các chính sách IDS khi phát hiện cuộc tấn công Các tài liệu này có thể bao gồm log đơn giản hoặc văn bản chi tiết Cần thiết phải xây dựng hệ thống để ghi chép và lưu trữ tài liệu một cách hiệu quả, trong đó báo cáo cũng được xem là một loại tài liệu quan trọng.

PHÂN LOẠI IDS

HIDS (Hệ thống phát hiện xâm nhập trên máy chủ) được cài đặt trên nhiều loại máy tính, bao gồm máy chủ, máy trạm và notebook HIDS mang lại khả năng linh hoạt trong việc giám sát các phân đoạn mạng mà NIDS không thể thực hiện, cho phép phân tích lưu lượng gửi đến host và chỉ chuyển tiếp thông tin an toàn nếu không phát hiện mã độc Hệ thống này chuyên sâu hơn với các ứng dụng và hỗ trợ mạnh mẽ cho hệ điều hành, với nhiệm vụ chính là giám sát sự thay đổi trên hệ thống.

HIDS bao gồm các thành phần chính:

- Mức độ sử dụng CPU.

- Kiểm tra tính toàn vẹn và truy cập trên file hệ thống.

- Một vài thông số khác.

Các thông số này vượt qua một ngưỡng định trước hoặc thay đổi khả nghi trên hệ thống sẽ gây ra cảnh báo. Ưu điểm của HIDS:

- Có khả năng xác định các user trong hệ thống liên quan đến sự kiện.

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này.

- Có khả năng phân tích các dữ liệu đã được mã hóa.

- Cung cấp các thông tin về host trong lúc cuộc tấn công đang diễn ra trên host.

Thông tin từ HIDS sẽ không còn đáng tin cậy ngay sau khi cuộc tấn công vào. host này thành công.

Khi hệ điều hành bị thỏa hiệp tức là HIDS cũng mất tác dụng.

HIDS phải được thiết lập trên từng host cần giám sát.

HIDS không có khả năng phát hiện việc thăm dò mạng (Nmap, Netcat…).

HIDS cần tài nguyên trên host để hoạt động.

HIDS có thể không hoạt động hiệu quả khi gặp tấn công từ chối dịch vụ (DoS) Hầu hết các hệ thống này được phát triển trên nền tảng Windows, nhưng cũng tồn tại một số phiên bản chạy trên Linux hoặc Unix.

Việc cài đặt HIDS trên các máy chủ gây khó khăn cho quản trị viên trong việc nâng cấp, bảo trì phần mềm và cấu hình, dẫn đến tốn thời gian và phức tạp Hệ thống thường chỉ phân tích lưu lượng đến máy chủ, trong khi không thể phát hiện các lưu lượng tấn công từ một nhóm máy chủ khác hoặc các hành động thăm dò như quét cổng Nếu máy chủ bị xâm nhập, hacker có thể vô hiệu hóa HIDS, làm giảm hiệu quả bảo mật của hệ thống.

HIDS cần đảm bảo khả năng cảnh báo đầy đủ trong môi trường hỗn tạp, điều này trở nên quan trọng khi HIDS phải tương thích với nhiều hệ điều hành khác nhau.

Do đó, lựa chọn HIDS cũng là vấn đề quan trọng.

NIDS (Network Intrusion Detection System) là một hệ thống phát hiện xâm nhập, hoạt động bằng cách thu thập dữ liệu từ các gói tin lưu thông trên các phương tiện truyền dẫn như cáp và không dây Hệ thống này sử dụng các phương pháp phân tích để nhận diện và ngăn chặn các hành vi xâm nhập trái phép vào mạng.

- Trong suốt với người sử dụng và kẻ tấn công.

- Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng.

- Tránh được việc bị tấn công dịch vụ đến một host cụ thể.

- Có khả năng xác định được lỗi ở tầng network.

- Độc lập với hệ điều hành.

- Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất thường mà IDS vẫn báo.

- Không thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSEC, SSL…

- NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để thực sự hoạt động hiệu quả.

- Không thể cho biết việc mạng bị tấn công có thành công hay không, để người quản trị tiến hành bảo trì hệ thống.

Một trong những thách thức lớn trong việc giám sát mạng là giới hạn băng thông, khi mà các bộ thu thập dữ liệu cần phải thu thập, sắp xếp và phân tích toàn bộ lưu lượng mạng Khi tốc độ mạng gia tăng, khả năng của bộ thu thập cũng cần được cải thiện Để khắc phục vấn đề này, việc thiết kế mạng một cách chính xác là rất quan trọng Hacker thường sử dụng kỹ thuật phân mảnh dữ liệu để ẩn hoạt động của họ trước các hệ thống phát hiện xâm nhập (IDS) Mỗi giao thức có kích thước gói dữ liệu tối đa, và khi dữ liệu vượt quá giới hạn này, nó sẽ bị phân mảnh Quá trình phân mảnh này không gây ra vấn đề miễn là dữ liệu không bị chồng chéo, nhưng các bộ cảm biến cần phải tái hợp lại các gói dữ liệu để phát hiện các hoạt động xâm nhập Hacker cố gắng tránh bị phát hiện bằng cách gửi nhiều gói dữ liệu phân mảnh chồng chéo, khiến cho bộ cảm biến không thể xác định chính xác các hoạt động xâm nhập nếu không được sắp xếp lại một cách đúng đắn.

Hình 0.5 Sơ đồ NIDS 1.3.3 Network Node IDS

NNIDS (Network node Intrusion detection system): Kết hợp giữa HIDS vàNIDS.

Tác nhân NNIDS hoạt động tương tự như IDS dựa trên mạng, nhận các gói mạng và thực hiện phân tích giao thức hoặc so sánh với các mục nhập cơ sở dữ liệu chữ ký Tuy nhiên, "micro agent" này chỉ chú trọng đến các gói được nhắm mục tiêu vào nút mạng mà nó đang hoạt động Do được cài đặt trong ngăn xếp giao thức của máy chủ, nó còn được gọi là IDS dựa trên ngăn xếp.

Host IDS, thường được gọi là "host-based", chủ yếu được xem xét từ góc độ của Network IDS Trong báo cáo này, Host IDS tập trung vào việc giám sát các tệp nhật ký và phân tích hành vi Trong khi đó, cả IDS Network và Network Node đều liên quan đến phân tích TCP, với điểm khác biệt chính là NIDS hoạt động ở chế độ quảng bá, trong khi NNIDS không làm như vậy.

Hệ thống NNIDS hiện nay không còn cần kiểm tra từng gói tin trên dây, giúp tăng tốc độ và giảm thiểu tài nguyên hệ thống, cho phép cài đặt trên các máy chủ hiện có với chi phí thấp Nó đặc biệt phù hợp với các phân đoạn có tải trọng cao, môi trường mạng chuyển mạch và triển khai VPN với lưu lượng mã hóa, nơi mà IDS truyền thống thường gặp khó khăn.

Cần cài đặt một số tác nhân NNIDS cho tất cả máy chủ cần bảo vệ, và tất cả các tác nhân này sẽ báo cáo về một bảng điều khiển trung tâm.

Nhiều tổ chức có thể kết hợp cả hai loại hệ thống phát hiện xâm nhập (IDS) - NNIDS trên các máy chủ riêng lẻ trong các máy chủ chuyển mạch và IDS truyền thống trên các phân đoạn ít được sử dụng hơn Cách tiếp cận này cho phép một IDS duy nhất bảo vệ một số lượng lớn máy chủ, tối ưu hóa hiệu quả bảo mật mạng.

1.3.4 So sánh giữa NIDS và HIDS:

HỆ THỐNG IDS NỀN TẢNG ZEEK

TỔNG QUAN VỀ ZEEK

Zeek được Vern Paxson bắt đầu phát triển dự án vào những năm 1990 với tên gọi

"Bro" đã được sử dụng như một công cụ giám sát hoạt động trên mạng lưới phòng thí nghiệm quốc gia và các trường đại học Vào cuối năm 2018, Vern và nhóm dự án đã quyết định đổi tên Bro thành Zeek.

Zeek là một công cụ mã nguồn mở giúp quản lý và ứng phó với sự cố an ninh, giám sát tất cả lưu lượng truy cập để phát hiện các hoạt động đáng ngờ.

Zeek được trình bày như một công cụ để hỗ trợ quản lý ứng phó sự cố an ninh

Nó hoạt động bằng cách sử dụng các công cụ dựa trên chữ ký để phát hiện và theo dõi các sự kiện mạng phức tạp Công nghệ này không chỉ giúp xác định các sự kiện bảo mật mà còn tạo điều kiện để khắc phục sự cố hiệu quả.

Nó hoạt động bằng cách bổ sung các công cụ dựa trên chữ ký để tìm và theo dõi các sự kiện mạng phức tạp Đặc trưng bởi phản hồi nhanh, nó sử dụng nhiều luồng và giao thức Công cụ này không chỉ giúp xác định các sự kiện bảo mật mà còn tạo điều kiện khắc phục sự cố hiệu quả.

Zeek là một tập hợp các tệp nhật ký mở rộng ghi lại hoạt động mạng theo các thuật ngữ cấp cao, bao gồm bản ghi toàn diện về mọi kết nối Các nhật ký này ghi lại các phiên ứng dụng, như tất cả các phiên HTTP với URI yêu cầu, tiêu đề chính, loại MIME và phản hồi của máy chủ Ngoài ra, Zeek cũng ghi nhận yêu cầu DNS cùng với phản hồi, chứng chỉ SSL, và nội dung chính của các phiên SMTP.

Zeek không chỉ cung cấp các bản ghi mà còn tích hợp nhiều chức năng phân tích và phát hiện Nó cho phép trích xuất tệp từ các phiên HTTP và phát hiện phần mềm độc hại.

2.1.2 Các Đặc Trưng Hệ Thống a Về triển khai:

Hỗ trợ máy chủ Linux, FreeBDS, MacOS.

Phân tích lưu lượng thụ động hoàn toàn từ cổng giám sát.

Phân tích thời gian thực và ngoại tuyến.

Hỗ trợ cụm để triển khai theo quy mô lớn.

Khung quản lý thống nhất để vận hành cả thiết lập độc lập và thiết lập cụm. b Về phân tích:

Ghi nhật ký hoạt động để phân tích ngoại tuyến.

Phân tích độc lập cổng của các giao thức lớp ứng dụng.

Hỗ trợ đa dạng các giao thức lớp ứng dụng như DNS, FTP, HTTP, SMTP, SSH và SSL, cho phép người dùng thực hiện các tác vụ khác nhau Đồng thời, việc phân tích nội dung tệp được trao đổi qua các giao thức này giúp nâng cao khả năng quản lý và bảo mật thông tin.

Mô hình lập trình dựa trên sự kiện.

Hỗ trợ rộng rãi để theo dõi và quản lý trạng thái mạng theo thời gian.

Các loại dữ liệu dành riêng cho miền, chẳng hạn như địa chỉ IP (xử lý minh bạch cả IPv4 và IPv6), số cổng và bộ hẹn giờ.

2.1.3 Mục Đích Của ZEEK

Zeek được trình bày như một công cụ để hỗ trợ quản lý ứng phó sự cố an ninh

Nó hoạt động bằng cách sử dụng các công cụ ký hiệu để tìm kiếm và theo dõi các sự kiện mạng phức tạp Đặc điểm nổi bật của nó là khả năng cung cấp phản hồi nhanh chóng và sử dụng nhiều luồng cũng như giao thức khác nhau Hệ thống này không chỉ giúp xác định các sự kiện bảo mật mà còn tạo điều kiện để khắc phục sự cố hiệu quả.

Chuyển đổi dữ liệu về lưu lượng mạng thành các sự kiện cấp cao hơn.

Trình thông dịch tập lệnh là một ngôn ngữ lập trình mạnh mẽ, cho phép người dùng tương tác với các sự kiện và phân tích ý nghĩa của chúng trong bối cảnh an ninh mạng.

KIẾN TRÚC CỦA ZEEK

Về mặt kiến trúc, Zeek được phân thành hai thành phần chính gồm Event Engine và Script Interpreter:

Event Engine sẽ kết hợp nhiều luồng gói tin thành chuỗi sự kiện cấp cao, phản ánh hoạt động mạng theo các điều khoản trung lập về chính sách Tuy nhiên, các sự kiện này không cung cấp thông tin về việc URI (Uniform Resource Identifier) có liên quan đến trang web độc hại hay không.

Script Interpreter thực thi các trình xử lý sự kiện được viết bằng script của Zeek, cho phép thể hiện chính sách bảo mật của trang web Điều này bao gồm các hành động cần thực hiện khi trình giám sát phát hiện các loại hoạt động khác nhau.

Hình 2.1 Kiến trúc của ZEEK Tap: là một cơ chế phân chia luồng gói để tạo sẵn một bản sao để kiểm tra.

Frontend là một thiết bị phần cứng độc lập hoặc công nghệ trên máy chủ, có chức năng phân chia lưu lượng truy cập thành nhiều luồng hoặc kênh khác nhau.

Manager là quy trình Zeek với hai nhiệm vụ chính: nhận thông báo nhật ký và thông báo từ các nút trong cụm qua giao thức truyền thông Zeek Kết quả là tạo ra một bản ghi duy nhất, giúp loại bỏ sự cần thiết phải kết hợp nhiều bản ghi rời rạc trong quá trình xử lý hậu kỳ Ngoài ra, Manager còn hỗ trợ các chức năng và phân tích khác, cung cấp cái nhìn toàn diện về các sự kiện và dữ liệu.

Logger là một quá trình tùy chọn trong Zeek, có chức năng nhận thông báo nhật ký từ các nút khác trong cụm thông qua giao thức truyền thông Zeek Mục đích chính của Logger là thu thập các bản ghi thay vì để Manager thực hiện, nhằm giảm tải cho Manager.

Proxy là một quy trình trong Zeek giúp giảm tải bộ nhớ dữ liệu và quản lý khối lượng công việc hiệu quả Một cụm proxy có thể bao gồm nhiều nút proxy để tối ưu hóa hiệu suất hệ thống.

Worker: là quy trình Zeek đánh giá lưu lượng mạng và thực hiện phân tích giao thức trên các luồng lưu lượng được tập hợp lại.

CHỨC NĂNG CỦA ZEEK

 Giám sát chi tiết các mạng sử dụng nhật ký

Tệp nhật ký là công cụ hữu ích trong việc phân tích sự cố mạng, đặc biệt là các sự kiện ảnh hưởng đến tính toàn vẹn bảo mật Zeek tối ưu hóa việc này bằng cách cung cấp tệp tóm tắt chi tiết từ các nhật ký mà nó tạo ra, dựa trên nhiều giao thức khác nhau Một số giao thức có thể được trích dẫn bao gồm:

Hình 2.3 trình bày ảnh chụp màn hình của tất cả các trường trong nhật ký DNS kết nối Mỗi trường cung cấp thông tin chi tiết về loại dữ liệu có thể được xem, kèm theo một mô tả ngắn gọn Dưới đây là một số ví dụ về các trường này.

- trans_id: một số duy nhất được tạo để xác định nhật ký được tạo.

- mật mã: giá trị của mã phản hồi DNS.

- từ chối: đây là trường giá trị boolean (đúng hoặc sai) cho chúng tôi biết nếu yêu cầu kết nối DNS bị từ chối hay không.

Một khía cạnh thường được nhận xét liên quan đến nhật ký là chúng rất rộng và phức tạp để hiểu.

Zeek cung cấp một số tập lệnh được cấu hình sẵn, giúp người dùng dễ dàng thực hiện các hoạt động giám sát mạng riêng Việc sử dụng những tập lệnh này không chỉ tiết kiệm thời gian mà còn nâng cao hiệu quả trong việc quản lý mạng.

Một trong những đoạn script quan trọng là script tương ứng với Máy phát hiện đình trệ HTTP, được sử dụng để phát hiện các cuộc tấn công DDoS loại đình chỉ HTTP Loại tấn công DDoS này khai thác một trong những lỗ hổng nghiêm trọng nhất của máy chủ web.

Việc xác định kết nối giữa máy khách từ xa và máy chủ qua liên kết chậm là rất quan trọng Nếu không thể xác định, có thể dẫn đến việc chấm dứt kết nối của cùng một khách hàng Đặc biệt, máy chủ web với dung lượng hạn chế dễ dàng bị tổn thương trước các loại tấn công này.

Để tận dụng tối đa lợi thế từ các tập lệnh, bạn cần truy cập cổng thông tin chính thức của công ty hỗ trợ Zeek Tại đây, bạn có thể tìm thấy các tập lệnh qua kho lưu trữ Github chính thức Ngoài ra, nhiều tài nguyên hỗ trợ khác cũng được cung cấp trên trang này để giúp bạn bắt đầu sử dụng công cụ một cách hiệu quả.

2.4 ƯU ĐIỂM CỦA ZEEK SO VỚI CÁC PHẦN MỀM IDS KHÁC

Zeek giám sát luồng lưu lượng mạng và tạo ra các bản ghi chi tiết về hoạt động mạng Những thông tin này bao gồm các bản ghi kết nối, khối lượng gói tin được gửi và nhận, cùng với các thuộc tính của phiên TCP và siêu dữ liệu hữu ích khác Điều này hỗ trợ trong việc phân tích hành vi mạng và hiểu rõ hơn về ngữ cảnh của các hoạt động đó.

Zeek cung cấp khả năng thực hiện các kiểm tra tương tự đối với thuộc tính lưu lượng truy cập, kèm theo giao diện lập trình linh hoạt Điều này cho phép Zeek không chỉ tính toán thống kê số mà còn so sánh mẫu biểu thức chính quy Hơn nữa, Zeek có thể xây dựng các điều kiện logic phức tạp thông qua các toán tử VÀ, HOẶC và KHÔNG, giúp người dùng tùy chỉnh phân tích theo nhu cầu môi trường của họ.

ƯU ĐIỂM CỦA ZEEK SO VỚI CÁC PHẦN MỀM IDS KHÁC

Hình 3.1 Sơ đồ mạng

TRIỂN KHAI HỆ THỐNG IDS ZEEK

TRIỂN KHAI

3.2.1 Kịch bản: Kiểm tra các kết nối tới địa chỉ IP, và các tệp nhật ký, và các tiến trình trên mỗi nút chạy Đầu tiên em sẽ tiến hành cài đặt mysql, start service mysql (đã được cài đặt trước đó)

Sau đó em sẽ cài dặt Zeek ( ở đây em sẽ chọn version 5.1.0)

Hình 3.3 Kiểm tra bản tải Zeek

Tiếp theo, bạn sẽ cần xác định mạng mà bạn muốn giám sát Bạn có thể xác định nó bằng cách chỉnh sửa tệp /opt/zeek/etc/node.cfg.

Hình 3.4 Cài đặt mạng giám sát Đầu tiên, chỉnh sửa tệp cấu hình chính của Zeek

Hình 3.4.1 Cài đặt mạng giám sát

Lưu và đóng tệp khi bạn hoàn tất, sau đó kiểm tra tệp cấu hình xem có lỗi nào không bằng lệnh sau

Tiếp theo, triển khai cấu hình Zeek bằng lệnh sau:

Hình 3.6 Triển khai cấu hình zeek

Bây giờ bạn có thể kiểm tra trạng thái của phiên bản Zeek bằng lệnh sau:

Hình 3.7 Kiểm tra trạng thái Zeek

Kiểm tra tất cả các tệp nhật ký được tạo bằng lệnh sau:

Hình 3.8 Kiểm tra nhật ký được tạo

Kiểm tra nhật ký kết nối.

Hình 3.8.1 Kiểm tra nhật ký kết nối kiểm tra nhật ký cụm:

Hình 3.9 Kiểm tra nhật ký cụm

Kiểm tra các tiến trình đang chạy trên mỗi nút.

Hình 3.10 Kiểm tra các tiến trình