1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa trên phân tíh lưu lượng mạng và họ máy

76 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Phát hiện xâm nhập mạng bằng phát hiện bất thường dựa trên phân tích lưu lượng mạng và học máy
Tác giả Nguyễn Anh Đức
Người hướng dẫn PGS. TS. Nguyễn Linh Giang
Trường học Đại học Bách Khoa Hà Nội
Chuyên ngành Công nghệ thông tin
Thể loại luận văn thạc sĩ
Năm xuất bản 2020
Thành phố Hà Nội
Định dạng
Số trang 76
Dung lượng 9,27 MB

Cấu trúc

  • CHƯƠNG 1. TÔNG QUAN VỀ PHÁT HI N VÀ PHÒNG CH NG XÂM Ệ Ố (0)
    • 1.1 Gi i thi ớ ệu về IDS/IPS (12)
      • 1.1.1 Khái ni ệm về IDS/IPS (12)
      • 1.1.2 S khác nhau gi a IDS/IPS ........................................................ 4 ự ữ (0)
      • 1.1.3 Phân bi t nh ng h th ng không ph i IDS ................................. 6 ệ ữ ệ ố ả (0)
    • 1.2 Ch ức năng của IDS/IPS (15)
    • 1.3 Phân bi t IDS và IPS .................................................................................. 7 ệ (0)
      • 1.3.1 Network based IDS – NIDS (16)
      • 1.3.2 Host Based IDS-HIDS (18)
      • 1.3.3 So sánh gi ữa NIDS và HIDS (19)
    • 1.4 Ki n trúc c a IDS và nguyên lý ho ế ủ ạt động (0)
      • 1.4.1 Ki n trúc c a IDS ...................................................................... 12 ế ủ (0)
      • 1.4.2 Nguyên lý ho ạt độ ng (22)
    • 1.5 Cơ chế ho ạt động của hệ ố th ng IDS/IPS (23)
      • 1.5.1 Phát hi n s l m d ệ ự ạ ụng (0)
      • 1.5.2 Phát hi n s b ệ ự ất thường (0)
      • 1.5.3 So sánh gi a 2 mô hình ............................................................. 17 ữ CHƯƠNG 2. CÁC PHƯƠNG PHÁP PHÁT HIỆ N T N CÔNG TRONG Ấ (0)
    • 2.1 Các phương pháp phát hiệ n b ất thườ ng (28)
      • 2.1.1 Phát hiện xâm nhập mạng bất thường dựa trên luậ t (rule-based) (28)
      • 2.1.2 Phát hiện xâm nhập mạng bất thường dựa trên mạng nơ -ron (Artificial Neural Network) (29)
    • 2.2 H th ng phát hi n xâm nh p v i Snort ................................................... 26 ệ ố ệ ậ ớ (0)
    • 2.3 Ki n trúc c a snort ................................................................................... 27 ế ủ (0)
      • 2.3.1 Môđun giả i mã gói tin (37)
      • 2.3.2 Môđun tiề n x lý ....................................................................... 28 ử (37)
      • 2.3.3 Môđun phát hiệ n (38)
      • 2.3.4 Môđun log và cả nh báo (39)
      • 2.3.5 Mô đun kế t xu t thông tin ......................................................... 30 ấ (39)
      • 2.3.6 B lu t c ộ ậ ủa snort (0)
    • 3.1 Các ki u t ể ấn cống Portscan (0)
      • 3.1.1 TCP Connect Scan (45)
      • 3.1.2 UDP Scan (46)
      • 3.1.3 SYN Scan (46)
      • 3.1.4 FIN Scan (47)
      • 3.1.5 XMAS Scan (47)
      • 3.1.6 NULL Scan (47)
      • 3.1.7 Decoy Scan (47)
    • 3.2 Th nghi m phát hi ử ệ ện tấ n công b ng h ằ ọc máy (0)

Nội dung

3.Mục tiêu nghiên cứu - Hiểu được các kỹ thuật xâm nhập bất hợp pháp và Hacker thường sử ụng để dt n công vào m ng.ấ ạ - Nghiên cứu và áp dụng chương trình hỗ trợ phát hiện xâm nhập mạng

TÔNG QUAN VỀ PHÁT HI N VÀ PHÒNG CH NG XÂM Ệ Ố

Gi i thi ớ ệu về IDS/IPS

Khoảng 25 năm trước, khái niệm phát hiện xâm nhập xuất hiện lần đầu tiên qua bài báo của James Anderson Lúc đó, người ta cần hệ thống phát hiện xâm nhập (IDS) nhằm mục đích dò tìm và nghiên cứu các hành vi bất thường cùng thái độ của người sử dụng trong mạng Hệ thống này giúp phát hiện các hành vi lạm dụng đặc quyền để giám sát tài sản trong mạng lưới Các nghiên cứu về hệ thống phát hiện xâm nhập đã trở thành một lĩnh vực nghiên cứu chính thức từ năm đó.

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần mềm hoặc phần cứng có nhiệm vụ theo dõi và phân tích các sự kiện xảy ra trên hệ thống máy tính để phát hiện các vấn đề an ninh Với sự gia tăng các cuộc tấn công mạng, IDS trở nên thiết yếu trong bảo mật của tổ chức Công nghệ này giúp phát hiện và ngăn chặn các cuộc tấn công bằng cách bảo vệ các thành phần của môi trường Hệ thống Ngăn ngừa Xâm nhập có khả năng phân tích lưu lượng mạng và quyết định xem đó có phải là cuộc tấn công hay không, từ đó thực hiện hành động phù hợp để bảo vệ hệ thống Kết quả là nhu cầu cho các giải pháp phát hiện và giám sát xâm nhập ngày càng tăng cao.

Hệ thống IDS có khả năng ngăn chặn các mối đe dọa xâm nhập được gọi là IPS Khi phát hiện nguy cơ, IPS sẽ thực hiện các biện pháp phòng ngừa để bảo vệ hệ thống khỏi các cuộc tấn công.

Hình sau minh ho ạ các vị trí thường cài đặt IDS trong m ng: ạ

1.1.2 Sự khác nhau giữa IDS/IPS

Công nghệ IDS (Hệ thống phát hiện xâm nhập) và IPS (Hệ thống ngăn chặn xâm nhập) có sự khác biệt rõ rệt IDS chỉ là một công cụ giám sát thụ động, thông báo cho người quản trị về các nguy cơ tấn công mà không thể ngăn chặn chúng Ngược lại, IPS cung cấp giải pháp chủ động, có khả năng ngăn chặn các cuộc tấn công ngay lập tức Do đó, quản trị viên phải có khả năng xác định lưu lượng bình thường và bất thường, điều này thường rất khó khăn trong thực tế.

Với hệ thống IPS, người quản trị có khả năng phát hiện các lưu lượng khả nghi khi có dấu hiệu tấn công, đồng thời giảm thiểu sai sót trong việc xác định lưu lượng Hệ thống này cho phép các cuộc tấn công được xử lý ngay lập tức khi có dấu hiệu bất thường, hoạt động theo quy định đã được thiết lập bởi nhà quản trị.

Hệ thống phát hiện xâm nhập (IDS) hiện nay chỉ sử dụng từ một đến hai cơ chế để phát hiện tấn công, dẫn đến khả năng phát hiện sự lạm dụng và các hành vi bất thường không hiệu quả Mỗi cuộc tấn công có những cơ chế khác nhau, do đó cần có nhiều phương pháp để phân biệt Việc IDS chỉ có số lượng cơ chế hạn chế có thể dẫn đến tình trạng không phát hiện được các cuộc tấn công với cơ chế không định sẵn, làm tăng khả năng tấn công thành công và ảnh hưởng tiêu cực đến hệ thống Hơn nữa, các cơ chế tổng quát của IDS dễ dẫn đến báo cáo nhầm và cảnh báo sai, gây lãng phí thời gian và công sức của quản trị viên Ngược lại, hệ thống ngăn chặn xâm nhập (IPS) được xây dựng dựa trên nhiều cơ chế tấn công, cho phép áp dụng các phương pháp phù hợp với nhiều dạng tấn công khác nhau.

5 thức tấn công mới nên sẽ ảm thiểu được khả năng tấn công của mạng, thêm đó, gi độ chính xác của IPS là cao hơn so với IDS

Hệ thống phát hiện xâm nhập (IDS) chỉ có thể phản ứng với các cuộc tấn công sau khi gói tin đã đến đích, dẫn đến việc chống lại tấn công bằng cách gửi yêu cầu đến các máy trong hệ thống để xóa kết nối tới máy tấn công Điều này có thể gây ra tác động phụ, như việc chặn cả địa chỉ IP của khách hàng hoặc đối tác trong trường hợp tấn công từ chối dịch vụ (DoS) Ngược lại, hệ thống ngăn chặn xâm nhập (IPS) có khả năng phát hiện ngay từ đầu các dấu hiệu của cuộc tấn công và nhanh chóng khóa lưu lượng mạng liên quan, giúp giảm thiểu hiệu quả các cuộc tấn công.

Hệ thống IDS được thiết kế để phát hiện và cảnh báo các nguy cơ xâm nhập vào mạng máy tính, trong khi hệ thống IPS không chỉ phát hiện mà còn có khả năng hành động chống lại các mối đe dọa Tuy nhiên, sự khác biệt giữa hai hệ thống này không phải lúc nào cũng rõ ràng, vì một số IDS có thể được trang bị chức năng ngăn chặn như một tùy chọn, trong khi một số IPS lại không hoàn toàn thực hiện chức năng phòng chống Lựa chọn giữa IDS và IPS phụ thuộc vào quy mô và tính chất của mạng, cũng như chính sách an ninh của người quản trị Đối với mạng nhỏ, IPS thường được ưa chuộng hơn nhờ tích hợp khả năng phát hiện, cảnh báo và ngăn chặn Trong khi đó, với mạng lớn, chức năng ngăn chặn thường được giao cho các phần mềm chuyên dụng như firewall, và hệ thống cảnh báo sẽ theo dõi, phát hiện và gửi thông tin đến hệ thống ngăn chặn khác Sự phân chia trách nhiệm này giúp nâng cao tính linh hoạt và hiệu quả trong việc bảo đảm an ninh cho mạng.

T nhừ ững phân tích trên ta có thể có thể thấy được ưu điểm cũng như hạn chế ủ c a hệ ố th ng ph t hi n xâm nh p : ạ ệ ậ Ưu điểm:

- Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng m ng ạ

- Giúp kiểm tra các sự ố ả c x y ra v i h thớ ệ ống mạng

- S dử ụng để thu th p b ng chậ ằ ứng cho điều tra và ng c u s c ứ ứ ự ố

- Có th gây ra tình trể ạng báo động nh m n u c u hình không h p lý ầ ế ấ ợ

- Kh ả năng phân tích lưu lượng b ị mã hóa tương đối th p ấ

- Chi phí tri n khai và v n hành h ể ậ ệ thống tương đố ới l n

1.1.3 Phân biệt những hệ thống không phải IDS

Không phải mọi thiết bị bảo mật đều được xếp vào hệ thống phát hiện xâm nhập (IDS) Một số thiết bị bảo mật dưới đây có những chức năng riêng biệt và không thuộc danh mục IDS.

Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một môi trường mạng cụ thể Hệ thống này sẽ có các công nghệ kiểm tra lưu lượng mạng để bảo vệ an toàn thông tin.

• Các công cụ đánh giá lỗ ổ h ng ki m tra l i và lể ỗ ỗ ổ h ng trong hệ điều hành, d ch v m ng (các b quét b o m t) ị ụ ạ ộ ả ậ

Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm độc hại như virus, trojan horse và worm Mặc dù tính năng mặc định của các hệ thống phát hiện xâm nhập (IDS) thường cung cấp công cụ phát hiện lỗ hổng bảo mật hiệu quả, nhưng việc sử dụng các sản phẩm này vẫn là cần thiết để bảo vệ hệ thống một cách toàn diện.

• Tường l a – firewall : các h th ng b o m t, mử ệ ố ả ậ ật mã như: SSL, Kerberos, VPN,

Ch ức năng của IDS/IPS

Hệ thống phát hiện xâm nhập (IDS) giúp các tổ chức bảo vệ hệ thống của họ trước những mối đe dọa ngày càng gia tăng từ mạng Internet Với sự phát triển nhanh chóng của công nghệ thông tin, các chuyên gia an ninh mạng đang đặt câu hỏi về tính hiệu quả của IDS trong việc phát hiện các xâm nhập Đặc tính của IDS có thể bổ sung những điểm yếu trong các hệ thống bảo mật khác, tạo ra một lớp bảo vệ bổ sung Nhiều tài liệu đã chỉ ra những chức năng quan trọng mà IDS cung cấp, từ việc phát hiện sớm các mối đe dọa đến khả năng phân tích và báo cáo sự cố Do đó, việc sử dụng hệ thống IDS là cần thiết để nâng cao an ninh mạng cho các tổ chức.

Bảo vệ tính toàn vẹn của dữ liệu là rất quan trọng trong hệ thống thông tin, nhằm đảm bảo sự nhất quán và chính xác của dữ liệu Các biện pháp cần thiết phải được thực hiện để ngăn chặn việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu.

• Bảo v tính bí m t, gi cho thông tin không b l ra ngoài ệ ậ ữ ị ộ

Bảo vệ tính khả ụng, tức là hệ ống luôn sẵn sàng thực hiện yêu cầu truy nhậ d th p thông tin của người dùng h p pháp ợ

Bảo vệ tính riêng tư là việc đảm bảo người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng và nhiệm vụ đã được phân cấp, đồng thời ngăn chặn truy cập thông tin bất hợp pháp.

• Cung c p thông tin vấ ề ự s xâm nhập, đưa ra những chính sách đối phó, khôi ph c, sụ ửa chữa…

Nói tóm l i ta có th tóm tạ ể ắt IDS như sau:

Phân bi t IDS và IPS 7 ệ

Chức năng quan trọng nhất là: giám sát – c nh báo – bả ảo vệ

 Giám sát: lưu lượng m ng và các hoạ ạt động kh nghi ả

C nh báo: báo cáo v tình tr ng m ng cho h ả ề ạ ạ ệ thống và nhà qu n tr ả ị

 B o v : Dùng nh ng thi t lả ệ ữ ế ập mặc định và s c u hình t nhà quự ấ ừ ản trị mà có những hành động thi t thế ực chống l i k xâm nh p và phá ho ạ ẻ ậ ại.

Phân bi t: "thù trong gi c ngoài" t n công bên trong và t n công bên ngoài ệ ặ ấ ấ

Phát hi n: nh ng d u hi u bệ ữ ấ ệ ất thường d a trên nhự ững gì đã biết ho c nh vào sặ ờ ự so sánh thông lượng m ng hi n t i v i baseline ạ ệ ạ ớ

Ngoài ra h th ng phát hi n xâm nh p IDS còn có chệ ố ệ ậ ức năng:

 Ngăn chặn s ự gia tăng của nh ng t n công ữ ấ

 B sung nhổ ững điểm yếu mà các hệ ống khác chưa làm đượ th c

 Đánh giá chất lượng c a vi c thi t k h th ng ủ ệ ế ế ệ ố

Khi IDS hoạt động trong một khoảng thời gian nhất định, nó sẽ phát hiện ra những điểm yếu trong hệ thống Việc nhận diện những điểm yếu này rất quan trọng để đánh giá chất lượng thiết kế mạng và cách bố trí bảo vệ của các nhà quản trị mạng.

1.3 Phân biệt IDS và IPS

Cách phân loại hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System) phổ biến nhất dựa vào đặc điểm của nguồn dữ liệu thu thập được Các hệ thống IDS được chia thành hai loại chính: Hệ thống IDS dựa trên máy chủ (HIDS) sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập, và Hệ thống IDS dựa trên mạng (NIDS) sử dụng dữ liệu trên toàn bộ lưu thông mạng, kết hợp với dữ liệu kiểm tra từ một số máy trạm để phát hiện xâm nhập.

NIDS thường bao gồm hai thành phần chính: Bộc cảm biến (Sensor) và Trạm quản lý Bộc cảm biến thực hiện việc giám sát và kiểm soát các cuộc lưu thông nghi ngờ trên một đoạn mạng nhất định Trong khi đó, Trạm quản lý nhận các tín hiệu cảnh báo từ bộc cảm biến và thông báo cho người điều hành để có biện pháp xử lý kịp thời.

Một NIDS truyền thống với hai bộ ảm biến trên các đoạn mạng khác nhau c cùng giao ti p vế ới một trạm kiểm soát Ưu điể m c nh giám

Chi phí thấp: Việc cài đặt NIDS chỉ cần thực hiện ở những vị trí quan trọng, giúp giám sát lưu lượng toàn mạng mà không cần phải triển khai các phần mềm và quản lý phức tạp trên tất cả các máy trong mạng.

NIDS có khả năng phát hiện các cuộc tấn công mà HIDS có thể bỏ sót, vì nó kiểm tra header của tất cả các gói tin, giúp nhận diện các dấu hiệu tấn công Ví dụ, nhiều cuộc tấn công DoS và TearDrop chỉ được phát hiện khi phân tích header của các gói tin lưu chuyển trên mạng.

Việc xoá bỏ dấu vết xâm nhập là rất khó khăn, bởi các thông tin lưu trữ trong log file có thể bị thay đổi hoặc xóa để che giấu hoạt động xâm nhập Trong tình huống này, hệ thống phát hiện xâm nhập dựa trên host (HIDS) sẽ gặp khó khăn trong việc thu thập đủ thông tin cần thiết Ngược lại, hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng lưu lượng mạng hiện tại để phát hiện các hành vi xâm nhập Do đó, việc xóa bỏ thông tin trong log file không thể che giấu hoàn toàn các dấu vết tấn công Các thông tin được ghi lại không chỉ phản ánh cách thức tấn công mà còn cung cấp dữ liệu quan trọng cho việc xác minh và điều tra các hoạt động xâm nhập.

NIDS (Hệ thống phát hiện xâm nhập mạng) có khả năng phát hiện các cuộc tấn công ngay khi chúng xảy ra, giúp việc cảnh báo và đối phó diễn ra nhanh chóng hơn Ví dụ, khi một hacker thực hiện tấn công DoS dựa trên TCP, NIDS có thể phát hiện và ngăn chặn kịp thời bằng cách gửi yêu cầu TCP reset, từ đó giảm thiểu thiệt hại trước khi cuộc tấn công xâm nhập và phá hoại máy bị tấn công.

Hệ thống có tính độ ổn định cao, không bị ảnh hưởng đáng kể bởi các công việc của máy trên mạng Chúng hoạt động trên một hạ tầng chuyên dụng dễ dàng cài đặt, chỉ cần thiết lập một vài thông số cấu hình và kết nối vào mạng để kiểm soát các lưu thông nhạy cảm.

NIDS bị hạn chế bởi switch, dẫn đến nhiều lợi ích không được phát huy trong các mạng chuyển mạch hiện đại Thiết bị switch chia mạng thành nhiều phân đoạn, khiến NIDS khó thu thập thông tin toàn diện Do chỉ kiểm tra mạng trên đoạn mà nó kết nối trực tiếp, NIDS không thể phát hiện các cuộc tấn công xảy ra trên các đoạn mạng khác.

Vấn đề này yêu cầu tổ chức mua số lượng lớn bộ ảm biến để đảm bảo toàn bộ mạng hoạt động hiệu quả, nhưng điều này cũng gây tốn kém về chi phí cài đặt.

Hạn chế về hiệu năng của NIDS khiến hệ thống gặp khó khăn trong việc xử lý các gói tin trên mạng có mật độ lưu thông cao, dẫn đến việc không phát hiện được các cuộc tấn công thực hiện vào thời điểm "cao điểm" Một số nhà sản xuất đã khắc phục vấn đề này bằng cách cứng hóa hoàn toàn IDS để tăng cường tốc độ Tuy nhiên, do phải đảm bảo an toàn ở mức độ cao, một số gói tin có thể bị bỏ qua, gây ra lỗ hổng cho tấn công xâm nhập.

Tăng thông lượng mạng là một yếu tố quan trọng trong việc cải thiện hiệu suất của hệ thống Một hệ thống phát hiện xâm nhập có khả năng truyền tải một lượng dữ liệu lớn về ống phân tích trung tâm, điều này cho thấy khả năng xử lý và phản ứng nhanh chóng với các mối đe dọa Việc tối ưu hóa thông lượng không chỉ giúp nâng cao hiệu quả mà còn đảm bảo an ninh mạng tốt hơn.

Các gói tin được kiểm soát sinh ra một lượng lớn dữ liệu cần phân tích Để khắc phục vấn đề này, người ta thường sử dụng các tiểu trình giảm thiểu dữ liệu nhằm giảm bớt số lượng các lưu thông được truyền tải Hệ thống cũng thường thêm các chu trình tạo ra các quyết định vào các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng thái hoặc trung tâm truyền thông, thay vì thực hiện các phân tích thực tế Tuy nhiên, điểm bất lợi là nó sẽ cung cấp rất ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biến nào cũng sẽ không biết được việc một bộ cảm biến khác dò được một cuộc tấn công Một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc phức tạp.

Hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn công trong phiên mã hóa, vấn đề này càng trở nên nghiêm trọng khi nhiều công ty và tổ chức áp dụng mạng riêng ảo (VPN).

Hệ thống NIDS gặp khó khăn trong việc phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh Những gói tin được định dạng sai này có thể dẫn đến việc NIDS hoạt động không chính xác và gây ra sự cố.

Cơ chế ho ạt động của hệ ố th ng IDS/IPS

Có hai cách ti p cế ận cơ bản đối với việc phát hi n và phòng ch ng xệ ố âm nh p là: ậ

Mô hình phát hiện sự ạm dụ l ng (Misuse Detection Model) là hệ thống giúp phát hiện các xâm nhập bằng cách tìm kiếm các hành động bất thường tương ứng với các kỹ thuật xâm nhập đã được biết đến, dựa trên các dấu hiệu (signatures) hoặc những điểm dễ bị tấn công của hệ thống.

Mô hình phát hiện sự bất thường (Anomaly Detection Model) sẽ giúp hệ thống nhận diện các xâm nhập bằng cách phân tích và tìm kiếm những hành động khác biệt so với hành vi thông thường của người dùng hoặc hệ thống.

1.5.1 Phát hiện sự lạm dụng

Phát hiện sự xâm nhập là quá trình nhận diện các hành vi xâm nhập vào hệ thống bằng cách sử dụng các kỹ thuật đã biết Nó mô tả các mẫu xâm nhập đã được xác định, với mỗi mẫu đại diện cho một cách thức tấn công cụ thể Hệ thống phát hiện sự xâm nhập thực hiện việc kiểm soát đối với những mẫu này để phát hiện các hành động đáng ngờ Các mẫu có thể là chuỗi bit cố định, như virus, và được sử dụng để phát hiện các hành vi xâm nhập Hệ thống này so sánh hành động hiện tại với các mẫu đã biết nhằm dò ra các kịch bản xâm nhập đang diễn ra Thời gian thực là yếu tố quan trọng, với các bản ghi kiểm tra được ghi lại bởi hệ điều hành Các kỹ thuật phát hiện sự xâm nhập khác nhau ở cách thức mô hình hóa hành vi xâm nhập, trong đó các quy tắc được sử dụng để xác định những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Tuy nhiên, việc tích lũy một lượng lớn quy tắc có thể gây khó khăn trong việc hiểu và điều chỉnh, vì chúng không được tổ chức thành nhóm hợp lý trong một kịch bản xâm nhập cụ thể.

1.5.2 Phát hiện sự bất thường

Dựa trên định nghĩa và đặc điểm của các hành vi chấp nhận được trong hệ thống, việc phân biệt giữa hành vi mong muốn và bất thường là rất quan trọng Để phát hiện sự không bình thường, cần có khả năng phân biệt giữa hiện tượng thông thường và bất thường Ranh giới giữa dữ liệu hợp lệ và dạng thức bất thường được xác định rõ ràng, chỉ cần một bit khác nhau Tuy nhiên, việc xác định ranh giới giữa hành vi hợp lệ và bất thường lại phức tạp hơn Phát hiện sự không bình thường được chia thành hai loại: tĩnh và động.

Dựa trên giả thiết rằng phần hệ thống được kiểm soát luôn không đổ, chúng ta chỉ tập trung vào phần tĩnh của hệ thống, bao gồm mã hệ thống và dữ liệu Hai thông tin này được biểu diễn dưới dạng xâu bit nhị phân Nếu có sự sai khác trong biểu diễn này so với dạng thức gốc, có thể xảy ra lỗi hoặc bị xâm nhập Khi đó, bộ phát hiện tĩnh sẽ thông báo để kiểm tra tính toàn vẹn dữ liệu Cụ thể, nó đưa ra một hoặc nhiều xâu bit cố định để định nghĩa trạng thái mong muốn của hệ thống Các xâu này giúp thu được biểu diễn về trạng thái đó, có thể ở dạng nén Sau đó, biểu diễn trạng thái thu được sẽ được so sánh với biểu diễn tương tự tính toán từ trạng thái hiện tại của cùng xâu bit cố định Bất kỳ sự khác nhau nào sẽ được xác định là lỗi hoặc xâm nhập Tuy nhiên, việc sử dụng các xâu bit thực tế để định nghĩa trạng thái có thể tốn kém về lưu trữ và phép toán so sánh Do đó, vấn đề quan trọng là tìm ra sự sai khác để cảnh báo xâm nhập mà không cần chỉ ra sai khác ở đâu, nên có thể sử dụng biểu diễn nén để giảm chi phí Giá trị tóm tắt này được tính toán từ một xâu bit cơ sở, và phép tính này phải đảm bảo rằng giá trị từ các xâu bit cơ sở khác nhau là khác nhau, có thể sử dụng các thuật toán như checksums hoặc message digest.

Các hàm băm và metadata đóng vai trò quan trọng trong việc bảo mật thông tin Metadata mô tả các đối tượng dữ liệu và cấu trúc của chúng, giúp kiểm tra và quản lý dữ liệu hiệu quả Ví dụ, metadata cho một log file bao gồm kích thước và các thông tin liên quan, cho phép người dùng hiểu rõ hơn về nội dung và cấu trúc của dữ liệu.

N u kích c cế ỡ ủa log file tăng thì có thể là một dấu hi u xâm nh p ệ ậ b Phát hi ệ n đ ộ ng

Hành vi của hệ thống được định nghĩa là chuỗi các sự kiện phân biệt, trong đó nhiều hệ thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra để xác định các sự kiện liên quan Chỉ những hành vi tạo ra bản ghi kiểm tra mới được xem xét, và các sự kiện này có thể xảy ra theo trật tự nghiêm ngặt hoặc không Thông tin cần được tích lũy, với các ngưỡng được định nghĩa để phân biệt giữa việc sử dụng tài nguyên hợp lý và bất thường Nếu không rõ hành vi có bất thường hay không, hệ thống dựa vào các tham số thiết lập trong quá trình khởi tạo Ranh giới không rõ ràng có thể dẫn đến cảnh báo sai Cách phổ biến để xác định ranh giới là sử dụng phân loại thống kê và độ lệch chuẩn Khi một phân loại được thiết lập, ranh giới có thể được vạch ra bằng cách sử dụng các độ lệch chuẩn, và nếu hành vi nằm ngoài ranh giới, hệ thống sẽ cảnh báo có xâm nhập Các hệ thống phát hiện xâm nhập thường tạo ra một profile cơ sở để mô tả đặc điểm hành vi bình thường, với dữ liệu bao gồm nhiều đo lường về hành vi.

• Liên quan đến các l a ch n: thự ọ ời gian đăng nhập, v ị trí đăng nhập,…

Trong quá trình học, các tài nguyên được sử dụng bao gồm chiều dài phiên giao dịch và số lượng thông điệp được gửi ra mạng trong một đơn vị thời gian.

• Chu i bi u diỗ ể ễn các hành động

Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập sẽ được bắt đầu Phát hiện động lúc này tương tự như phát hiện tĩnh, trong đó hệ thống kiểm soát hành vi bằng cách so sánh các đặc điểm hiện tại với mô tả ban đầu của hành vi mong đợi (dữ liệu cơ sở) để tìm ra sự khác biệt Khi hệ thống phát hiện xâm nhập hoạt động, nó sẽ xem xét các sự kiện liên quan đến thực thể hoặc các hành động thuộc tính của thực thể, từ đó xây dựng thêm dữ liệu hiện tại.

Các hệ thống phát hiện xâm nhập dựa vào các bản ghi kiểm tra để ghi lại các sự kiện hoặc hành động liên quan Việc này giúp theo dõi và phân tích các hoạt động đáng ngờ, từ đó nâng cao khả năng bảo mật cho hệ thống.

Hệ thống phát hiện xâm nhập yêu cầu xây dựng cơ sở dữ liệu chính xác để nhận diện hành vi sai trái Việc ghi lại thông tin theo thời gian thực giúp quan sát trực tiếp các sự kiện xảy ra, thay vì chỉ chờ đợi hệ điều hành tạo ra bản ghi Khó khăn lớn nhất là cần có dữ liệu cơ sở vững chắc, có thể được xây dựng thông qua việc ghi nhận hành vi người dùng thông thường trong một khoảng thời gian dài.

1.5.3 So sánh giữa 2 mô hình

Phát hiện sự ạm dụng l Phát hiện sự ất thường b

-Cơ sở ữ ệu các dấu hiệ ấ d li u t n công

-Tìm ki m các so khế ớp mẫu đúng

-Cơ sở ữ liệu các hành độ d ng thông thường

-Tìm kiếm độ ệch của hành độ l ng thực t so vế ới hành động thông thường

Hiệu quả trong việc phát hiện các dạng tấn công đã biết, hay các biến thể (thay đổi nh ) c a các d ng tỏ ủ ạ ấn công đã biết

Không phát hiện được các dạng tấn công m i ớ

HIệu quả trong việc phát hiện các dạng tấn công mới mà một hệ th ng ố phát hi n s l m dệ ự ạ ụng bỏ qua

D cễ ấu hình hơn do đòi hỏi ít hơn về thu th p d li u, phân tích và c p nh t ậ ữ ệ ậ ậ

Việc cấu hình hệ thống trở nên khó khăn hơn do yêu cầu nhiều dữ liệu hơn, đòi hỏi một khái niệm toàn diện về hành vi đã biết và hành vi mong đợi Kết luận được đưa ra thông qua phép so sánh mẫu, và kết quả dựa vào tương quan thống kê giữa hành vi thực tế và hành vi mong đợi Điều này liên quan đến việc đánh giá độ lệch giữa thông tin thực tế và ngưỡng cho phép.

Có th kích ho t mể ạ ột thông điệp cảnh báo nhờ m t dấu hiệu chắc chắộ n, hoặc cung c p dấ ữ ệ li u hỗ ợ tr cho các dấu hiệu khác

Có thể ỗ ợ h tr vi c tự ệ sinh thông tin hệ thống một cách tự động nhưng cần có thời gian và dữ ệu thu thập được phải li rõ ràng

Để xây dựng một hệ thống phát hiện xâm nhập hiệu quả, cần so sánh hai mô hình phát hiện khác nhau Việc kết hợp cả hai phương pháp trong cùng một hệ thống sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và nâng cao hiệu suất Sơ đồ kết hợp hai mô hình sẽ được trình bày rõ ràng trong bài viết này.

18 HÌNH 1.7 H ệ thống kết hợp 2 mô hình phát hi n ệ

CHƯƠNG 2 CÁC PHƯƠNG PHÁP PHÁT HIỆN T N CÔNG TRONG Ấ

H TH NG IDS/IPS VÀ SNORT Ệ Ố

Trong chương này, tác giả ẽ s trình bày chi t t v các viế ề ấn đề sau :

- Trình bày và mô ả các phương pháp phát hiệ xâm nhật n p mạng trong hệ th ng IDS/IPS ố

- Trình bày về phương pháp phát hiện xâm nhập mạng bất thường bằng học m áy

- Trình bày và mô tả chi tiết về ứng dụng snort trong phát hiện xâm nhập m ng ạ

Các phương pháp phát hiệ n b ất thườ ng

Trong phần này, chúng ta sẽ xem xét các phương pháp phổ biến trong bài toán phát hiện xâm nhập, bao gồm phương pháp phát hiện dựa trên luật (rule-based) và mạng nơron Qua đó, chúng ta có thể hiểu rõ cơ chế hoạt động, cũng như những điểm mạnh và điểm yếu của từng phương pháp.

2.1.1 Phát hiện xâm nhập mạng bất thường dựa trên luật (rule- based) trong IDS/IPS Đây là phương pháp này ra đờ ừ ấ ớm và đượ ứi t r t s c ng dụng vào lĩnh vực dò l i hay phát hi n bỗ ệ ất thường trong m ng Trong h chuyên gia, mạ ệ ột cơ sở ữ d liệu chứa tập luật (rules) miêu tả các hành vi bất thường được dùng để so sánh với các luồng dữ ệu đi đế li n h thệ ống mạng Nếu một luồng dữ ệu đi đến hệ li thống với mục đích tấn công mà không được định nghĩa trong tập luật thì hệ thống IDS không thể phát hiện được Trên thực tế phương pháp này được áp dụng cho hệ thống phát hiện xâm nhập Snort rất nổi tiếng mà ta sẽ nói ph n ở ầ dưới Snort là h th ng IDS mã ngu n mệ ố ồ ở, được cung c p mi n phí h u h t các ấ ễ ầ ế tập luật, nhưng nếu chúng ta muốn sử ụng các tập luật mới hơn, đầy đủ hơn thì d có th mua thêm gói rules m t phí ể ấ Ưu điểm: H thệ ống phát hiện bất thường dựa trên rule-based có đặc điểm d cễ ấu hình, dễ thêm luật mới và dễ ử ụng Mỗi khi hệ ống mạng đứng trước s d th những nguy cơ tấn công mới, người quản trị chỉ ệc cập nhật thêm các luật chưa vi có vào cơ sở ữ ệu Phương pháp này có tỉ ệ d li l phát hi n nh m r t th p vì nó ệ ầ ấ ấ dùng cách phân tích gói tin và so sánh v i mớ ẫu đã có.

Hệ thống phát hiện xâm nhập dựa trên quy tắc có thể trở nên chậm chạp khi lưu lượng tăng cao Khi khối lượng lưu lượng quá lớn, hệ thống sẽ không đáp ứng được yêu cầu thời gian thực của người dùng Các vấn đề có thể xảy ra bao gồm gói tin bị nghẽn, số lượng kết nối TCP vượt quá mức cho phép và băng thông đạt tối đa Ngoài ra, phương pháp này còn phụ thuộc nhiều vào người quản trị mạng, không đáp ứng kịp thời khi hệ thống thay đổi, đòi hỏi sự ổn định và điều chỉnh thường xuyên.

Mô hình chuyên gia FCMs (fuzzy cognitive maps) có thể được sử dụng để khắc phục nhược điểm trong việc nghiên cứu 20 vấn đề về pháp luật FCMs cho phép xây dựng một mô hình thông minh, thể hiện sự tương tác và ảnh hưởng lẫn nhau giữa các triệu chứng một cách hiệu quả.

Cơ chế hoạt động của phương pháp rule-based có th di n giể ễ ải như sau:

- Gi thiả ết các sự ệ ki n phát tri n theo m t trình t nhể ộ ự ất định

Hệ ố g hoạt động bình thường có thể được mô tả thông qua các luật đã được rút gọn, ví dụ như A1 dẫn đến A2, và sau khi A2 xảy ra, có khả năng xảy ra sự kiện B1 tiếp theo.

Chúng tôi có một tập luật để so sánh các chuỗi sự kiện đầu vào với các quy tắc đã định Nếu các sự kiện đầu vào phù hợp với vế trái của một luật mà không trùng với vế phải của luật đó, thì có thể xác định sự bất thường Ví dụ, trong trường hợp sự kiện A1 dẫn đến sự kiện A2, nhưng sự kiện A2 lại dẫn đến sự kiện C1 thay vì B1, điều này cho thấy có sự bất thường xảy ra.

HÌNH 2.1 Mô hình h ệ thống phát hi n bệ ất thường d a trên rule-basedự

2.1.2 Phát hiện xâm nhập mạng bất thường dựa trên mạng nơ-ron (Artificial Neural Network)

Phương pháp phát hiện xâm nhập dựa trên quy tắc có nhược điểm là phụ thuộc nhiều vào tập luật được định nghĩa bởi người quản trị và cần cập nhật thường xuyên Để khắc phục điều này, phương pháp mạng nơ-ron được ra đời, cho phép hệ thống IDS học từ các mẫu dữ liệu thu thập được, thay vì phải cập nhật luật mới có thể gây xung đột với các luật hiện có, đặc biệt phù hợp với mô hình quy mô vừa và nhỏ Phương pháp này thường mang lại hiệu quả cao hơn trong việc phát hiện bất thường.

21 năng lực vượt trội trong việc linh động thay đổi huấn luyện giúp xây dựng các hệ thống IDS phức tạp hơn Với cách tiếp cận này, việc phát hiện xâm nhập không chỉ dừng lại ở việc cảnh báo về các cuộc tấn công, mà còn có khả năng xác định loại hình và tính chất chi tiết của cuộc tấn công tương ứng.

Bài viết này tập trung vào việc sử dụng mô hình mạng nơ ron nhận tạo trong học máy để phát hiện xâm nhập mạng bất thường, đặc biệt qua phương thức tấn công PortScan.

2.1.2.1 Giới thiệu mạng nơ ron

Khái niệm về mạng nơ-ron đã xuất hiện từ những năm 1950 với sự phát triển của ngành nghiên cứu trí tuệ nhân tạo Những node máy tính riêng lẻ chỉ thực hiện các tác vụ đã được lập trình sẵn và không thể trả lời những câu hỏi phức tạp, do đó được coi là “không thông minh” Tương tự như trong cơ thể con người, một nơ-ron đơn lẻ không thể tạo ra sự khác biệt, nhưng khi kết nối chúng thành một mạng lưới dày đặc, khả năng xử lý thông tin sẽ được nâng cao đáng kể Khi các hệ thống máy tính được liên kết với nhau, chúng có thể giải quyết những vấn đề phức tạp hơn Quan trọng nhất, với việc áp dụng đúng thuật toán, con người có thể “dạy học” cho máy tính.

Mạng neural nhân tạo (Artificial Neural Network - ANN) là một mô hình toán học và tính toán được phát triển dựa trên các mạng neural sinh học Mô hình này bao gồm các nút (neural nhân tạo) được kết nối với nhau, xử lý thông tin thông qua việc truyền tải tín hiệu và tính toán giá trị mới tại các nút Mạng neural nhân tạo hoạt động theo phương pháp connectionism, cho phép nó trở thành một hệ thống thích ứng có khả năng tự thay đổi cấu trúc dựa trên thông tin bên ngoài hoặc bên trong trong quá trình học.

Mạng nơ-ron nhân t o là s ạ ự mô phỏng toán học của mạng nơ-ron sinh h c ọ

Một mạng nơron nhân tạo được cấu thành từ các nơron cơ bản, bao gồm đầu vào và đầu ra Các đầu vào nhận tín hiệu kích thích từ đầu ra của các nơron khác hoặc từ môi trường xung quanh Mỗi nơron đầu vào có một bộ trọng số nhằm khuếch đại tín hiệu kích thích, và tất cả tín hiệu này sẽ được tổng hợp để tạo ra đầu ra cuối cùng.

Tín hiệu đầu vào sẽ được biến đổi qua một hàm phi tuyến, thường là hàm kích hoạt Cuối cùng, tín hiệu này sẽ được đưa đến đầu ra của nơron, có thể trở thành đầu vào cho các nơron khác hoặc tín hiệu ra của toàn bộ mạng.

HÌNH 2.2 Kiế n trúc m ột nơ ron nhân tạ o

Khi kết hợp các nơ-ron lại với nhau, ta tạo ra một mạng nơ-ron nhân tạo Tùy thuộc vào cách kết nối giữa các nơ-ron, có nhiều loại mạng khác nhau như mạng truyền thống và mạng phân hủy Mạng nơ-ron nhân tạo có thể được xem như một mô hình toán học Y = F(X), trong đó X là véctơ số liệu đầu vào và Y là véctơ số liệu đầu ra Ưu điểm của mạng nơ-ron nhân tạo là khả năng xây dựng mô hình tính toán với khả năng học dữ liệu rất cao.

HÌNH 2.3Mô hình m ạng nơ ron cơ bả n

- Một mô hình nơ-ron nhân t o g m có 3 lạ ồ ớp cơ bản:

Ki n trúc c a snort 27 ế ủ

Khi Snort hoạt động, nó sẽ lắng nghe và thu thập tất cả các gói tin di chuyển qua nó Các gói tin sau khi bị bắt sẽ được chuyển vào mô-đun Giải mã gói tin Tiếp theo, gói tin sẽ được đưa vào mô-đun Tiền xử lý, sau đó là mô-đun Phát hiện Tại đây, tùy thuộc vào việc có phát hiện xâm nhập hay không, gói tin có thể được bỏ qua để tiếp tục lưu thông hoặc được chuyển đến mô-đun Log và cảnh báo để xử lý Khi các cảnh báo được xác định, mô-đun Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo định dạng mong muốn Chúng ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.

2.3.1 Môđun giải mã gói tin d b

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng, giúp giám sát lưu lượng dữ liệu Hình ảnh minh họa cho thấy cách một gói tin Ethernet được giải mã, cho phép phân tích và xử lý thông tin hiệu quả.

HÌNH 2.7 Mô hình x lý m t gói tin Ethernet ử ộ

Một gói tin sau khi được gi i mã s ả ẽ được đưa tiếp vào môđun tiền xử lý

Môđun tiền xử lý đóng vai trò quan trọng trong hệ thống IDS, giúp chuẩn bị dữ liệu cho môđun phát hiện và phân tích Ba nhiệm vụ chính của các môđun này bao gồm: lọc và loại bỏ dữ liệu không cần thiết, chuẩn hóa dữ liệu để đảm bảo tính nhất quán, và phát hiện các mẫu bất thường trong dữ liệu nhằm nâng cao hiệu quả phát hiện.

Khi gửi một lượng dữ liệu lớn, thông tin sẽ không được đóng gói hoàn toàn vào một gói tin mà phải được phân mảnh thành nhiều gói tin nhỏ hơn Snort, khi nhận các gói tin này, cần thực hiện việc ghép nối lại để tái tạo dữ liệu nguyên dạng ban đầu, từ đó mới có thể thực hiện các công việc xử lý tiếp theo.

Trong 29 phiên làm việc của hệ thống, sẽ có rất nhiều gói tin được trao đổi Một gói tin riêng lẻ không có trạng thái, và nếu công việc phát hiện xâm nhập hoàn toàn dựa vào gói tin đó, sẽ không mang lại hiệu quả cao Module xử lý stream giúp Snort có khả năng hiểu các phiên làm việc khác nhau, từ đó cung cấp tính có trạng thái cho các gói tin, giúp nâng cao hiệu quả trong việc phát hiện xâm nhập.

Giải mã và chuẩn hóa giao thức là công việc quan trọng trong việc phát hiện xâm nhập, tuy nhiên, nó thường gặp khó khăn khi kiểm tra các giao thức có dữ liệu được thể hiện dưới nhiều dạng khác nhau Ví dụ, một web server có thể chấp nhận nhiều dạng URL, bao gồm cả URL được mã hóa bằng hex/Unicode, URL chứa ký tự đặc biệt như \ hoặc /, hoặc nhiều ký tự liên tiếp Điều này tạo ra thách thức cho việc nhận dạng, như trong trường hợp "scripts/iisadmin", khi kẻ tấn công có thể vượt qua các biện pháp bảo vệ bằng cách tùy biến các yêu cầu gửi đến web server.

Snort thực hiện mã hóa các chuỗi dữ liệu để ngăn chặn việc bỏ sót hành vi xâm nhập Một số mô-đun tiền xử lý của Snort có nhiệm vụ giải mã và sắp xếp lại thông tin đầu vào, giúp mô-đun phát hiện không bỏ sót dữ liệu quan trọng Hiện tại, Snort hỗ trợ giải mã và chuẩn hóa cho các giao thức như telnet, http, rpc, arp Để phát hiện các xâm nhập bất thường, Snort sử dụng các plugin xử lý không theo quy tắc, giúp phát hiện các xâm nhập khó nhận diện Một ví dụ là plugin thống kê thông lượng mạng, có khả năng phát hiện và cảnh báo khi có sự bất thường xảy ra Phiên bản hiện tại của Snort đi kèm với hai plugin quan trọng là portscan và bo (backoffice), giúp cảnh báo khi có hành vi quét cổng hoặc khi hệ thống bị nhiễm trojan backoffice.

2.3.3 Môđun phát hiện Đây là môđun quan trọng nh t c a Snort Nó ch u trách nhi m phát hi n các ấ ủ ị ệ ệ dấu hiệu xâm nhập Môđun phát hiện sử ụng các luật đượ d c định nghĩa trước để so sánh với dữ ệ li u thu thập được từ đó xác định xem có xâm nh p x y ra hay ậ ả

30 không R i ti p theo m i có thồ ế ớ ể thực hiện mộ ố t s công việc như ghi log, tạo thông báo và k t xu t thông tin ế ấ

Một vấn đề quan trọng trong mô-đun phát hiện xâm nhập (IDS) là thời gian xử lý các gói tin IDS thường nhận được một lượng lớn gói tin và có nhiều luật xử lý, dẫn đến việc thời gian xử lý có thể khác nhau cho từng gói tin Khi lưu lượng mạng quá lớn, có thể xảy ra tình trạng bỏ sót hoặc không phản hồi kịp thời Khả năng xử lý của mô-đun phát hiện phụ thuộc vào nhiều yếu tố như số lượng luật, tốc độ của hệ thống đang chạy Snort và cấu hình mạng Một số thử nghiệm cho thấy phiên bản hiện tại của Snort, khi được tối ưu hóa trên hệ thống có nhiều băng thông và cấu hình máy tính mạnh, có thể hoạt động hiệu quả trên các mạng có tốc độ Gigabit.

Môđun phát hiện của Snort có khả năng tách các phần của gói tin và áp dụng các luật lên từng phần cụ thể Các phần này có thể bao gồm nhiều thành phần khác nhau trong gói tin.

• Header t ng giao v n: TCP, UDP ở ầ ậ

• Header t ng ng d ng: DNS header, HTTP header, FTP header, … ở ầ ứ ụ

• Phầ ả ủn t i c a gói tin (bạn cũng có thể áp d ng các lu t lên các ph n d li u ụ ậ ầ ữ ệ được truyền đi của gói tin)

Một thách thức trong Mô-đun phát hiện là cách xử lý khi một gói tin bị phát hiện bởi nhiều luật khác nhau Do các luật trong Snort được đánh thứ tự ưu tiên, khi một gói tin bị phát hiện bởi nhiều luật, cảnh báo được phát ra sẽ dựa vào luật có mức ưu tiên cao nhất.

2.3.4 Môđun log và cảnh báo

Tùy thuộc vào khả năng của mô-đun Phát hiện xâm nhập, gói tin có thể được ghi log hoặc phát ra cảnh báo Các file log là các file văn bản chứa dữ liệu, có thể được lưu trữ dưới nhiều định dạng khác nhau, chẳng hạn như tcpdump.

2.3.5 Mô đun kết xu t thông tin ấ

Môđun này cho phép thực hiện các thao tác khác nhau tùy thuộc vào cách bạn muốn lưu kết quả đầu ra Tùy theo cấu hình hệ thống, nó có thể thực hiện nhiều công việc khác nhau.

• Ghi syslog: syslog và một chuẩn lưu trữ các file log được s d ng r t ử ụ ấ nhi u trên các h th ng Unix, Linux ề ệ ố

• Ghi cảnh báo vào cơ sở ữ ệ d li u

• Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việc trao đổi và chia s d li u ẻ ữ ệ

Gửi các cảnh báo được gói trong gói tin SNMP giúp cải thiện việc giám sát hệ thống Các gói tin SNMP này sẽ được gửi đến một máy chủ SNMP, từ đó hỗ trợ quản lý và phản hồi sự cố hiệu quả hơn.

31 quản lý các cảnh báo và hệ thống IDS một cách tập trung và thuận tiện hơn

Gửi các thông điệp SMB (Server Message Block) tới máy tính Windows là một phương pháp quan trọng trong việc truyền tải dữ liệu Nếu bạn không hài lòng với các cách xuất thông tin hiện tại, bạn có thể phát triển các mô-đun kết xuất thông tin riêng biệt, tùy theo mục đích sử dụng của mình.

Các ki u t ể ấn cống Portscan

CHƯƠNG 3 TH NGHI M PHÁT HI N T N CÔNG XÂM NH P Ử Ệ Ệ Ấ Ậ

M NG BẠ ẤT THƯỜNG B NG HẰ ỌC MÁY

Trong chương này, tác giả ẽ s trình bày v các về ấn đề sau:

- Mô t ả các kiể ấu t n công portscan

- Xây d ng mô hình tri n khai và ti n hành th nghi m ự ể ế ử ệ

- Các yêu cầu kỹ thuật trong cài đặt và th nghi m ng d ng ử ệ ứ ụ

- Xây d ng kự ịch bản th nghi m ng d ng ử ệ ứ ụ

- Đánh giá kết qu th nghi m ả ử ệ

3.1 Các kiểu tấn cống Portscan Để ế ti n hành th nghi m ử ệ ở đây tác giả ử ụ s d ng ch y u công c ủ ế ụ Nmap để thực hiện quét cổng Nmap là một trong những công cụ ph biổ ến nhất trong thế giới bảo mật thông tin Nmap (tên đầy đ Network Mapper) là một công cụ ảủ b o mật được phát triển bởi Floydor Vaskovitch Nmap có mã nguồn mở, miễn phí, dùng để quét c ng và l h ng b o m t Các chuyên gia qu n tr m ng s d ng ổ ỗ ổ ả ậ ả ị ạ ử ụ Nmap để xác đ nh xem thi t b ị ế ị nào đang chạy trên h th ng c a hệ ố ủ ọ, cũng như tìm kiếm ra các máy chủ có sẵn và các dịch vụ mà các máy chủ này cung cấp, đồng th i dò tìm các c ng m và phát hiờ ổ ở ện các nguy cơ về ảo mậ b t

Nmap là công cụ mạnh mẽ để giám sát cả các máy chủ đơn lẻ và các cụm mạng lớn, bao gồm hàng trăm nghìn thiết bị và nhiều mạng con Khi quét, Nmap gửi các gói dữ liệu đến các địa chỉ IP, thu thập thông tin liên quan giúp xác định các thuộc tính mạng Điều này cung cấp cho người dùng hồ sơ hoặc sơ đồ hệ thống mạng, cho phép họ tối ưu hóa và đánh giá hiệu suất của phần cứng và phần mềm trong hạ tầng mạng.

Các giao thức mạng sử dụng các cấu trúc gói khác nhau Nmap hỗ trợ nhiều giao thức tầng, bao gồm TCP (giao thức điều khiển truyền), UDP (giao thức truy cập người dùng) và SCTP (giao thức truyền dẫn điều khiển luồng) Ngoài ra, Nmap còn sử dụng các giao thức hỗ trợ như ICMP (giao thức tin nhắn điều khiển Internet), được dùng để gửi thông báo lỗi.

3.1.1 TCP Connect Scan Đây là kỹ thu t quét ph bi n nh t trong b t k ph n m m quét c ng nào ậ ổ ế ấ ấ ỳ ầ ề ổ

Việc quét cổng bao gồm việc sử dụng lệnh TCP connect() để thiết lập kết nối đến cổng máy chủ cần quét Nếu kết nối thành công, cổng sẽ được đánh dấu là mở (đang lắng nghe kết nối) Ngược lại, nếu nhận được thông báo đóng kết nối (RST), cổng sẽ được xác định là đóng Trong trường hợp không có phản hồi, cổng sẽ được coi là im lặng.

Kiểu quét này rất nhanh chóng vì có khả năng thực hiện song song cho nhiều cổng khác nhau Mặc dù đây là một phương pháp quét đơn giản, nhưng hiệu quả của nó không thể coi thường.

37 chính vì nó cố ắ g ng thiế ập hàng trăm hoặt l c hàng ngàn kết nối trong th i gian ờ ng n dắ ẫn đến việc hệ thống ghi nh n trong file log ậ

Hành vi quét cổng là quá trình mà kẻ tấn công gửi một gói tin SYN đến các cổng của máy mục tiêu để kiểm tra trạng thái của chúng Nếu một cổng mở, máy mục tiêu sẽ phản hồi bằng gói tin SYN|ACK, và kẻ tấn công sẽ hoàn tất quá trình bắt tay TCP bằng cách gửi gói tin ACK Ngược lại, nếu các cổng đều đóng, máy mục tiêu sẽ gửi gói tin RST để khởi động lại kết nối Ngoài ra, nếu cổng TCP im lặng không phản hồi, điều này cho thấy cổng đó có thể đang được bảo vệ hoặc không hoạt động.

Trong Nmap ta có th ể thực hi n b ng câu l nh sau ệ ằ ệ

Giống như công nghệ quét dựa trên TCP, phương pháp quét UDP cũng rất quan trọng UDP là giao thức không kết nối, không sử dụng các cờ điều khiển Khi gói tin UDP hoạt động với các cổng, việc quét không cần phải phụ thuộc vào các kết nối có định hướng.

Nếu port mục tiêu đang mở, sẽ không có phản hồi nào Ngược lại, nếu port bị đóng, tin nhắn "Port unreachable" sẽ được gửi Các chương trình độc hại như Trojan và phần mềm gián điệp thường sử dụng port UDP để truy cập vào mục tiêu Đây là kiểu quét để phát hiện một cổng UDP đang mở Gói tin UDP sẽ được gửi tới các cổng của mục tiêu; nếu cổng mục tiêu không phản hồi, nó sẽ gửi lại gói tin ICMP Port Unreachable Để thực hiện kiểu quét này, bạn có thể sử dụng cú pháp sau đây:

3.1.3 SYN Scan Đây là một ki u scan khác vể ới TCP Connect() Scan để tránh h th ng ghi ệ ố nhận quá trình bắt tay 3 bước sẽ không được hoàn thành Kẻ ấn công sẽ ửi một t g gói tin SYN đế ấ ản t t c các c ng c a mổ ủ ục tiêu Trong trường h p các cợ ổng tương ứng m nó s g i tr l i m t gói tin SYN | ACK T i đi m này kẻ ấở ẽ ử ả ạ ộ ạ ể t n công s k t ẽ ế thúc b ng m t gói tin RST N u cằ ộ ế ổng đóng mục tiêu sẽ ử g i trở ạ l i m t gói tin ộ RST Trong cả 2 trường h p quá trình bợ ắt tay 3 bước đều sẽ không được hoàn thành Đầu tiên, một gói SYN được gửi giả ờ ố ắng thiết lập một kết nối và v c g ph n ả ứng được mong đợi Nếu một gói SYN / ACK đến, điều đó có nghĩa là cổng đang mở; nếu một gói RST đến, cổng bị đóng; và nếu không nhận được ph n hả ồi, nó được coi là im l ng ặ

Kiểu quét này mang lại nhiều kết quả khó phát hiện nhưng yêu cầu thời gian dài hơn Quá trình bắt đầu với việc gửi gói tin SYN đến máy chủ từ xa, nhằm mở kết nối TCP Nếu máy chủ phản hồi bằng gói SYN/ACK, điều đó có nghĩa là kết nối TCP đã được mở Ngược lại, nếu nhận được gói RST, điều này cho thấy kết nối đã bị từ chối Khi gửi gói tin SYN đến một cổng TCP đóng, máy chủ sẽ phản hồi bằng gói RST, xác nhận rằng cổng đó không hoạt động Cuối cùng, nếu gói tin SYN được gửi đến một cổng TCP im lặng, máy chủ sẽ không phản hồi, cho thấy cổng đó không có hoạt động.

Trong Nmap ta có th ể thực hi n b ng câu l nh sau ệ ằ ệ

FIN scan là một kỹ thuật gửi các gói tin chỉ chứa cờ FIN, cho phép vượt qua tường lửa Khi gói FIN được gửi đến mục tiêu, các cổng sẽ được coi là đang mở nếu không nhận được phản hồi.

N u port b ế ị đóng, RST được tr l i ả ạ Để ự th c hi n ki u scan này, ta có th s dệ ể ể ử ụng cú pháp sau đây:

Giống như FIN scan, kiểu scan này cho phép kẻ tấn công gửi một gói tin chứa các cờ FIN, URG và PSH Để thực hiện kiểu scan này, bạn có thể sử dụng cú pháp sau đây:

Gần giống như FIN scan nhưng trong kiểu scan này kẻ ấn công sẽ ử t g i

Kiểu scan này tương tự như FIN scan và XMAS scan, nhưng kẻ tấn công gửi một gói tin mà không thiết lập bất kỳ cờ (flag) nào trong Header của TCP Gói tin này có các cờ FIN, URG, và PSH Để thực hiện kiểu scan này, ta có thể sử dụng cú pháp sau đây:

Decoy Scan là một kỹ thuật quét nâng cao, kết hợp với TCP SYN, nhằm đánh lừa nạn nhân và các hệ thống phát hiện có liên quan Kỹ thuật này tạo ra ảo giác rằng nhiều máy tính đang thực hiện cuộc tấn công, trong khi thực tế chỉ có một người thực hiện Việc sử dụng Decoy có thể làm cho việc xác định cuộc tấn công trở nên khó khăn hơn, thậm chí một số hệ thống IDS có thể bị lừa nếu sử dụng một số lượng lớn các địa chỉ giả mạo.

C th ta xét ví d ụ ể ụ sau :

Sau tham số "-D", các địa chỉ IP được sử dụng để ẩn danh khi quét mục tiêu, cho phép gửi đồng thời ba gói tin: một từ máy tấn công, một từ IP 1.2.3.4, và một từ IP 5.6.7.8 Kết quả là mục tiêu sẽ phản hồi với cả ba địa chỉ IP, làm cho nó nghĩ rằng tất cả đều là nguồn gốc của cuộc tấn công.

3 IP đang scan mình Tuy nhiên, khi ta tăng giá trị IP lên hàng trăm IP thì vi c ệ tìm ra k t n công thẻ ấ ực sự là rất khó khăn.

3.2 Th ửnghiệm phát hiện tấn công b ng hằ ọc máy

Ngày đăng: 26/01/2024, 16:01

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w