Thậm chívì vậy, những kẻ xâm nhậpthường tuân theo một trong số các mẫu hành vi có thể nhận biết được và cácmẫu này thường khác với các mẫu của người dùng thông thường.- Các phương thức x
lOMoARcPSD|38837747 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VĂN HIẾN BÀI TIỂU LUẬN GIỮA KỲ HỌC PHẦN ĐẠI CƯƠNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÊN ĐỀ TÀI TRUY CẬP DỮ LIỆU TRÁI PHÉP TRÊN MẠNG (INTRUSION ATTACK) Giảng viên hướng dẫn: Huỳnh Thị Châu Ái Nhóm sinh viên thực hiện: Nhóm 11 Tên thành viên : NGUYỄN TRỌNG NHÂN – MSSV: 191A030381 NGUYỄN PHẠM TRÚC ANH – MSSV: 211A030847 LÝ ĐẶNG TRANG ĐÀI – MSSV: 201A210027 TRẦN GIA KHANG – MSSV: 211A050364 ĐẶNG TẤN PHÁT – MSSV: 201A080202 LỚP HP: 212INT201 TP HỒ CHÍ MINH – Ngày 04 Tháng 03 Năm 2021 1 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 NHẬN XÉT CỦA GIẢNG VIÊN ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… 2 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… …………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ……………………………… TRUY CẬP DỮ LIỆU TRÁI PHÉP TRÊN MẠNG (INTRUSION ATTACK) Các cuộc tấn công của kẻ xâm nhập bao gồm từ lành tính đến nghiêm trọng Tại kết thúc lành tính của quy mô, có nhiều người chỉ đơn giản muốn khám phá internets và xem những gì là ngoài đó Cuối cùng nghiêm trọng là những cá nhân đang cố gắng đọc dữ liệu đặc quyền, thực hiện các sửa đổi trái phép đối với dữ liệu hoặc làm gián đoạn hệ thống Các kỹ thuật và hành vi Các mô hình của những kẻ xâm nhập liên tục thay đổi, để khai thác các điểm yếu mới được phát hiện và trốn tránh sự phát hiện và các biện pháp đối phó Thậm chívì vậy, những kẻ xâm nhập thường tuân theo một trong số các mẫu hành vi có thể nhận biết được và các mẫu này thường khác với các mẫu của người dùng thông thường - Các phương thức xâm nhập trái phép khác như bẻ khóa, trộm mật khẩu, mật mã của người khác để xâm nhập trái phép hoặc xâm nhập vật lý như mở khóa cửa vào phòng, khu vực không thuộc phận sự để truy cập vào mạng máy tính, mạng viễn thông, phương tiện điện tử 1.1 Các thành phần 1.2 Cách thức hoạt động - Cài đặt công cụ quản trị từ xa 3 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 Chạy trình dò tìm gói tin trên máy trạm để nắm bắt tên người dùng và mật khẩu - Chọn mục tiêu bằng các công cụ tra cứu IP như NSLookup, Dig và các công cụ khác CHƯƠNG I ; MÔ TẢ CÁC THÀNH PHẦN VÀ NGUYÊN LÝ - Clandestine user: Một cá nhân nắm quyền kiểm soát giám sát hệ thống và sử dụng quyền kiểm soát này để trốn tránh việc kiểm tra và kiểm soát truy cập hoặc để ngăn chặn việc thu thập kiểm toán Định nghĩa một máy chủ Web Đoán và bẻ khóa mật khẩu - Đợi để quản trị viên truy cập và lấy mật khẩu Đóng vai một giám đốc điều hành, gọi cho bộ phận trợ giúp, đặt lại mật khẩu e-mail của giám đốc điều hành và tìm hiểu mật khẩu mới Giới thiệu về chủ đề Hành vi của kẻ xâm nhập Intrusion attack hay có thể gọi là sự truy cập trái phép vào dữ liệu và phần mềm Một vấn đề về bảo mật quan trọng đối với các hệ thống nối mạng là sự xâm phạm của người dùng hoặc phần mềm thù địch Sự xâm phạm của người dùng có thể ở dạng bỏ qua đăng nhập thông minh vào một máy, hoặc trong trường hợp là người dùng được ủy quyền, có được các quyền riêng tư hoặc thực hiện các hành động vượt quá những điều đã được cho phép Phần mềm xâm nhập có thể ở dạng virus, hoặc trojan (mã lây nhiễm ẩn trong các chương trình) - Lập bản đồ mạng cho các dịch vụ có thể truy cập bằng các công cụ như NMAP 4 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 - Masquerader: Một cá nhân không được phép sử dụng máy tính và người thâm nhập các kiểm soát truy cập của hệ thống để khai thác tài khoản của người dùng hợp pháp - Misfeasor: Người dùng hợp pháp truy cập vào dữ liệu, chương trình hoặc tài nguyên mà quyền truy cập đó không được phép hoặc người được ủy quyền cho quyền truy cập đó nhưng sử dụng sai đặc quyền của họ Quay số vào một modem không an toàn và có được quyền truy cập mạng nội bộ Sao chép cơ sở dữ liệu có chứa số thẻ tín dụng Sử dụng lỗi quyền trên máy chủ FTP ẩn danh để phân phối tệp nhạc và phần mềm vi phạm bản quyền Sử dụng máy trạm không giám sát, đã đăng nhập mà không được phép - Sử dụng quyền quản trị của người khác là sử dụng quyền quản lý, vận hành, khai thác và duy trì hoạt động ổn định hệ thống mạng máy tính, mạng viễn thông của cá nhân Sự xâm nhập (Intruder) Thực hiện thỏa hiệp gốc từ xa của máy chủ e-mail TRUY CẬP DỮ LIỆU TRÁI PHÉP TRÊN MẠNG Truy cập vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử mà không được sự đồng ý của người chủ sở hữu hoặc người quản lý điều hành mạng máy tính, mạng viễn thông hoặc phương tiện điện tử đó Hành vi được thực hiện thông qua các phương thức như: Ví dụ: - Vượt qua cảnh báo là vượt qua thông báo không cho phép người không có thẩm quyền truy cập vào cơ sở dữ liệu 5 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 - Vượt qua mã truy cập là vượt qua những điều kiện bắt buộc đáp ứng một tiêu chí chuẩn nhất định trước khi sử dụng, truy cập tới thiết bị, nội dung dữ liệu được bảo vệ - Vượt qua tường lửa để xâm nhập trái phép, trong đó, tường lửa là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm hoặc phần cứng được đặt giữa hai hay nhiều mạng nhằm kiểm soát tất cả những kết nối từ bên trong ra bên ngoài và ngược lại, đồng thời ngăn chặn việc xâm nhập, kết nối trái phép - Xác định các dịch vụ có khả năng bị tấn công Xem dữ liệu nhạy cảm, bao gồm hồ sơ bảng lương và thông tin y tế, mà không được phép CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS Hệ thống IPS sử dụng 2 phương pháp chính để phát hiện tấn công là phương pháp so sánh mẫu và phương pháp so sánh dựa trên bất thường Như chúng ta đã biết phương pháp so sánh mẫu có khá nhiều khuyết điểm và hiện nay không được sử dụng rộng rãi nữa, hầu hết các hệ thống IPS hiện nay chủ yếu hỗ trợ và phát triển phương pháp so sánh dựa trên bất thường với khả năng phát hiện ra các kiểu tấn công mới vì thế trong chương này cũng như xuyên suốt tiểu luận tôi sẽ chủ yếu tập trung tìm hiểu và nghiên cứu các phương pháp phát hiện tấn công bằng phát hiện bất thường Bài tiểu luận sẽ lần lượt đi qua các phương pháp cơ bản trong hệ thống sử dụng phát hiện bất thường trong đó sẽ đi sâu vào phương pháp sử dụng Datamining ( Khai phá dữ liệu ), là hướng nghiên cứu được nói đến nhiều nhất hiện nay 6 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 2.1 Thế nào là bất thường trong mạng? Những bất thường trong mạng thường dùng để chỉ những hoàn cảnh khi hoạt động của mạng đi chệch so với các trạng thái bình thường Bất thường trong mạng có thể phát sinh từ nhiều nguyên nhân như các thiết bị mạng bị hỏng hóc, hệ thống mạng quá tải, hệ thống gặp phải các cuộc tấn công từ chối dịch vụ, và các cuộc xâm nhập phá vỡ khả năng vận chuyển của các dịch vụ mạng … Những sự kiện bất thường sẽ phá vỡ trạng thái bình thường của một vài dữ liệu mạng mà chúng ta có thể đo được Người ta sẽ dựa vào trạng thái của các dữ liệu này để xác định trạng thái của mạng là bình thường hay không bình thường Các dữ liệu dùng để xác định trạng thái của mạng phụ thuộc vào một vài nhân tố đặc biệt như khả năng hoạt động của 1 hệ thống dựa trên dung lượng lưu thông, loại dữ liệu hệ thống sẵn có hay những loại ứng dụng chạy trên hệ thống… Tóm lại những sự bất thường của hệ thống được xác định thông qua những thay đổi chớp nhoáng liên tục trong dữ liệu hệ thống trước hoặc trong khi 1 sự kiện bất thường đang xảy ra Thuật ngữ “những thay đổi chớp nhoáng” dùng để diễn tả những thay đổi đột ngột trong dữ liệu xảy ra theo 1 trật tự thời gian giống như tần số hay tần suất Khoảng thời gian diễn ra các thay đổi đột ngột này biến thiên theo bản chất của sự kiện bất thường đó Bất thường trong mạng có thể được chia làm 2 lớp chính Lớp thứ nhất liên quan đến những sự cố và những lỗi về hiệu năng của mạng như sự cố liên quan 7 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 đến File Server, sự cố phân trang bộ nhớ qua mạng (paging across the network), broadcast storms, babbling node, hay tắc nghẽn đường truyền (transient congestion) Ví dụ cho sự cố File server đó là sự cố của một web server, xảy ra khi có một số lượng lớn yêu cầu tới server vượt quá khả năng đáp ứng Sự cố phân trang qua mạng (paging network) xảy ra khi một chương trình ứng dụng phình to hơn dung lượng bộ nhớ giới hạn của máy trạm làm việc và bắt đầu phân trang bộ nhớ tới một File server, việc này không ảnh hưởng đến cá nhân người dùng nhưng nó ảnh hưởng đến các người dùng khác do sẽ gây ra sự thiếu hụt băng thông mạng Vấn đề babbling node là tình huống lỗi phần mềm cũng có thể gây ra các bất thường trong mạng như những lỗi khi xây dựng giao thức mạng khiến cho một máy liên tục gửi các gói tin gây tắc nghẽn mạng… Lớp bất thường thứ 2 là những vấn đề liên quan đến an ninh mạng Ví dụ của những bất thường dạng này là tấn công từ chối dịch vụ (DoS) và xâm nhập hệ thống Tấn công DoS diễn ra khi các dịch vụ được cung cấp bởi 1 hệ thống bị 1 phần tử độc hại nào đó điều khiển Bên cung cấp dịch vụ do đó có thể ngưng 1 dịch vụ trọng yếu như DNS chẳng hạn và điều này sẽ gây ra 1 sự sụp đổ thực sự của cả 1 hệ thống Trong trường hợp mạng bị xâm nhập, các phần tử nguy hiểm ( virus, spyware, worm, troyjan… ) cũng có thể chiếm dung lượng lớn đường truyền khiến cho hệ thống chạy chậm đi và dẫn đến hiện tượng tắc nghẽn mạng 2 2 Các nguồn dữ liệu dùng cho phát hiện bất thường Thu thập các loại dữ liệu về hiệu năng của mạng là công việc cơ bản cho việc phát hiện bất thường Các loại bất thường có thể phát hiện được phụ thuộc vào bản chất của dữ liệu mạng Trong phần này chúng ta sẽ xem xét một số nguồn có thể thu thập dữ liệu và phân tích sự thích hợp của chúng trong việc phát hiện 8 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 bất thường Bản chất của phương pháp phát hiện bất thường là xây dựng nên tập các hồ sơ trạng thái bình thường của mạng để so sánh do đó dữ liệu thu thập càng chính xác khả năng phát hiện càng cao, thuật toán càng hiệu quả 2 2.1 Network Probes Network Probes Network Probes [4] là các công cụ đặc biệt như lệnh ping và traceroute, được sử dụng để thu thập các thông số mạng cần thiết như thời gian trễ và tỉ lệ mất gói tin Các công cụ Probing cung cấp các số liệu mạng một cách tức thời Nhưng phương thức này không yêu cầu sự phối hợp của các nhà cung cấp dịch vụ mạng Tuy vậy, các nhà cung cấp dịch vụ có thể chọn không cho phép các công cụ này hoạt động thông qua Firewall của họ Hơn nữa các gói tin IP được sử dụng bởi các công cụ này không nhất thiết phải đích đến Trên mạng Internet, giả thiết này là không được đảm bảo Do đó các thông số thu thập được từ các công cụ này có thể chỉ cho chúng ta cái nhìn ở mức thô về hệ thống mạng Cho nên dữ liệu lấy từ các probing không có nhiều giá trị cho mục đích phát hiện bất thường 2 2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) Trong phương thức lọc gói tin [4], các luồng gói tin sẽ được thống kê, lấy mẫu bằng cách ghi lại các thông tin IP header của các gói tin ở các thời điểm khác nhau ở các vị trí khác nhau Các thông tin thu được từ IP header có thể cung cấp chi tiết về hoạt động của mạng, chúng có thể được sử dụng trong việc phát hiện các bất thường về luồng Một luồng thông tin được xác định bởi địa chỉ nguồn, địa chỉ đích và số hiệu cổng Tóm lại phương pháp này cho phép có được thống kê chính xác về giao dịch trong mạng nhưng khó áp dụng trong thực tế vì nó đòi hỏi những công nghệ lấy mẫu tinh vi cũng như các thiết bị phần cứng đặc biệt để lấy các thông tin từ các gói IP 2.2.3 Dữ liệu từ các giao thức định tuyến Thông tin về các sự kiện mạng có thể được thu thập thông qua các giao thức định tuyến Ví dụ như sử dụng giao thức OSPF ( open shortest path first), 9 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 nó có thể thu thập tất cả thông tin cập nhật về bảng định tuyến được trao đổi bởi các router Dữ liệu thu được có thể xây dựng toplogy của mạng và cung cấp trạng thái cập nhật của đường truyền như về băng thông, độ trễ, mức độ tắc nghẽn mạng… 2.2.4 Dữ liệu từ các giao thức quản trị mạng Các giao thức quản trị mạng cung cấp tất cả thông tin thống kê về giao thông trên mạng Những giao thức này hỗ trợ rất nhiều thông số có thể giám sát chính xác hoạt động thiết bị mạng Những thông tin thu thập được có thể không cung cấp trực tiếp các thông số đo lường về giao thông mạng nhưng có thể dùng để nhận dạng các hành vi trên mạng do đó có thể được sử dụng trong phát hiện bất thường mạng Sử dụng loại thông tin này đòi hỏi sự kết hợp với phần mềm quản trị mạng của nhà cung cấp dịch vụ ( Management Protocol ) SNMP hoạt động dựa trên mô hình client-server Giao thức này cung cấp một cơ chế giúp các manager giao tiếp với agent Một SNMP manager có thể giám sát hàng trăm SNMP agent khác nằm trên các thiết bị mạng SNMP được cài đặt ở tầng ứng dụng và chạy trên giao thức UDP SNMP manager có khả năng thu thập các dữ liệu quản lý được cung cấp bởi SNMP agent nhưng lại không có khả năng xử lý những dữ liệu này SNMP server sẽ lưu giữ 1 cơ sở dữ liệu bao gồm những thông số quản lý được gọi là những thông số thông tin quản lý cơ bản MIB ( management information base) Các thông số này chứa các thông tin liên quan đến hoạt động của các chức năng khác nhau trên những thiết bị mạng Bất kỳ thiết bị mạng nào cũng có một tập các thông số MIB đặc trưng cho các chức năng của nó Các thông số MIB được định nghĩa dựa trên loại thiết bị cũng như tầng giao thức mà nó hoạt động Ví dụ như bridges (cầu) hoạt động ở tầng liên kết dữ liệu chứa các thông số cung cấp thông tin về trao đổi thông tin ở mức liên kết dữ liệu Routers là thiết bị ở tầng mạng chứa các thông số cung cấp thông tin về tầng mạng Lợi ích của việc sử dụng giao thức SNMP vì nó là một giao thức được phát triển rộng rãi và mang tính chuẩn hóa 10 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 trên tất cả các thiết bị mạng Nhờ đó các thông tin lấy được từ giao thức SNMP là các dữ liệu lý tưởng sử dụng cho việc phát hiện bất thường Các thông số MIB được chia thành các nhóm : hệ thống, giao diện ( if), dịch địa chỉ ( address translation – af ), giao thức internet (ip), giao thức điều khiển tin nhắn internet (icmp), giao thức điều khiển giao vận (tcp), giao thức udp (udp), giao thức cổng ngoài ( egp) Mỗi nhóm các thông số miêu tả chức năng của một giao thức chuyên biệt của thiết bị mạng Tùy thuộc vào loại nút mạng nào được theo dõi, một nhóm các thông số cụ thể có thể được xem xét Nếu nút đang được xem xét là router, nhóm thông số ip sẽ được nghiên cứu Các thông số ip mô tả các đặc điểm trao đổi dữ liệu ở tầng mạng Không có một thông số MIB nào có thể nắm bắt được mọi bất thường trong hệ thống hoặc những dấu hiệu bất thường hệ thống 2.3 Các phương pháp phát hiện bất thường Trong phần này chúng ta sẽ xem xét các phương pháp hay được sử dụng trong phát hiện bất thường Các phương pháp này bao gồm hệ chuyên gia ( rule-based ), mô hình máy trạng thái hữu hạn, so sánh mẫu, phân tích thống kê, mạng nơ- ron Chúng ta sẽ nghiên cứu cơ chế hoạt động điểm mạnh, điểm yếu của từng phương pháp 2.3.1 Hệ chuyên gia ( Rule-based ) Phương pháp này được áp dụng từ rất sớm trong lĩnh vực dò lỗi hay phát hiện bất thường trong mạng Trong hệ chuyên gia, một cơ sở dữ liệu toàn diện chứa tập luật miêu tả hành vi của hệ thống được sử dụng để xác định nếu một lỗi nào đó xảy ra Trên thực tế phương pháp này ít được áp dụng do hệ thống chạy quá chậm không đáp ứng được yêu cầu của các ứng dụng thời gian thực và phụ thuộc nhiều vào cơ sở tri thức về các triệu chứng lỗi trước đó Những triệu chứng này có thể là : dung lượng đường truyền bị quá tải, số lượng kết nối TCP mở nhiều trên mức cho phép, thông lượng đạt mức tối đa … Phương 11 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 pháp này còn có một nhược điểm là phụ thuộc khá nhiều vào người quản trị mạng và không đáp ứng kịp khi hệ thống mạng được mở rộng do mỗi khi hệ thống có sự thay đổi thì cần có sự bổ sung về tập luật Người ta có thể sử dụng mô hình hệ chuyên gia FCMs ( fuzzy cognitive maps) để khắc phục nhược điểm này FCM có thể được sử dụng để tạo ra một mô hình thông minh có sự thừa kế và tác động qua lại với nhau của các triệu chứng mạng 2.3.2 Mạng Nơ-ron ( Artificial Neural Network) chúng ta đã biết ở trên, một trong những phương pháp phổ biến dùng để phát hiện bất thường là hệ chuyên gia, tuy nhiên phương pháp này có nhược điểm là phụ thuộc khá nhiều vào tập luật được định nghĩa trước bởi người quản trị và phải được cập nhật thường xuyên Nhược điểm này có thể được khắc phục bằng cách áp dụng công nghệ mạng nơ-ron Hệ thống phân tích bất thường sử dụng mạng nơron tập trung vào việc phát hiện các thay đổi trong hành vi của chương trình, theo đó mạng nơron sẽ học và dự đoán hành vi của người sử dụng và các chương trình ứng dụng Ưu điểm của mạng nơron là thích ứng được với các kiểu dữ liệu không đầy đủ, dữ liệu với độ chắc chắn không cao và không cần cập nhật tri thức thường xuyên do nó có quá trình tự học, điểm yếu của mạng nơron là tốc độ xử lý, trong quá trình tự thu thập dữ liệu, phân tích và điểu chỉnh các nơron Chúng ta sẽ đi vào chi tiết hơn Mạng nơ-ron nhân tạo hay thường gọi ngắn gọn là mạng nơ-ron là một mô hình tính toán được xây dựng dựa trên các mạng nơ-ron sinh học Nó gồm có một nhóm các nơ-ron nhân tạo (nút) nối với nhau, và xử lý thông tin bằng cách truyền theo các kết nối và tính giá trị mới tại các nút Trong nhiều trường hợp, mạng nơ-ron nhân tạo là một hệ thống thích ứng (adaptive system) tự thay đổi cấu trúc của mình dựa trên các thông tin bên ngoài hay bên trong chảy qua mạng trong quá trình sinh học CHƯƠNG 3; CHO VÍ DỤ THỰC TẾ VÀ ỨNG DỤNG 12 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 3.1 Xâm nhập ( Intrusion ) Trong phần này sẽ trình bày những khái niệm liên quan đến xâm nhập (intrusion), kịch bản xâm nhập (intrusion scenario), sẽ tìm hiểu về bản chất, nguyên nhân, những dấu hiệu của việc xâm nhập vào hệ thống, trước khi đi sâu nghiên cứu và triển khai một hệ thống xâm nhập Một xâm nhập là một vài người("hacker” hay "cracker”) cố gắng phá vỡ hay lạm dụng hệ thống Hacker và cracket là hai từ dùng để chỉ những kẻ xâm nhập Kẻ xâm nhập được chia thành hai loại: Outsiders: những kẻ xâm nhập từ bên ngoài hệ thống( xóa Wed servers, chuyển tiếp các spam qua e-mail sẻvers) Chúng có thể vượt qua firewall để tấn công các máy trong nội bộ mạng Những kẻ xâm nhập có thể đến từ Internet, qua đường dây điện thoại, đột nhập vật lý hoặc từ các mạng thành viên được liên kết đến tổ chức mạng (nhà sản xuất, khách hàng, ) Insiders: những kẻ xâm nhập mà được sử dụng được ủy quyền, hoặc giả mạo người dùng được ủy quyền ở mức cao hơn ) Loại xâm nhập này chiếm 80% 3.2 Cách thức xâm nhập vào hệ thống Các cách thức mà kẻ xâm nhập có thể đi vào hệ thống: Physical Intrusion (xâm nhập vật lý): nếu một kẻ xâm nhập truy cập vật lý vào một máy ( chẳng hạn chúng có thể dùng bàn phím, ) chúng sẽ có thể xâm nhập vào cả hệ thống System Intrusion (xâm nhập hệ thống): đây là một kiểu hacking Giả sử rằng kẻ xâm nhập đã có một account người dùng được ủy quyền mức thấp trong hệ thống Nếu hệ thống không có các biện pháp an toàn mới nhất, thù sẽ tạo cơ hội tốt cho kẻ xâm nhập lợi dụng để có được ủy quyền cao hơn (quyền người quản trị) 13 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 Remote Intrusion (xâm nhập từ xa): đây là kiểu hacking liên quan đến kẻ xâm nhập cố gắng thâm nhập vào một hệ thống từ xa qua mạng Kẻ xâm nhập đầu tiên không có ủy quyền nào cả Có một số dạng hacking này Hệ thống NIDS nghiên cứu trong phạm vi đề tài này liên quan chính đến kiểu xâm nhập từ xa (Remote Intrusion) 3.3 Những lỗ hổng an ninh có thể xâm nhập: Phần mềm luôn luôn có lỗi (bug) Nhà quản trị hệ thống và người lập trình không bao giờ có thể xóa vết và khử mọi lỗ hổng có thể Những kẻ xâm nhập chỉ cần tìm ra một lỗ hổng và xâm nhập vào hệ thống Chi tiết về các lỗi hệ thống và những kẻ xâm nhập có thể lời dụng để thực hiện các mục đích của chúng như sau: Các lỗi phần mềm (Software bugs): Các lỗi phần mềm được khai thác trong các trình tiện ích trên server, trong các ứng dụng tại client, trong hệ điều hành và các ngăn xếp mạng CHƯƠNG 4; ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 4.1 Ưu điểm Có thể dùng trong việc truy bắt tội phạm xâm nhập vào phần mềm, hệ thống để tìm ra vị trí 4.2 Nhược điểm Trong kinh doanh các công ty lợi dụng việc truy cập vào dữ liệu trái phép để ăn cắp hồ sơ, chiến lược của công ty đối thủ Việc xâm nhập vào hệ thống của người khác gây ảnh hưởng rất nhiều đến cuộc sống Hacker lợi dụng các dữ liệu đánh cắp được để tống tiền hoặc dùng để bôi nhọ danh dự của người khác 14 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 Từ đó ta có thể thấy instruction attack tuy là có giúp ích nhưng vẫn là một vấn đề đáng lo ngại bởi instruction attack cũng gây ảnh hưởng rất nhiều đối với đời sống tinh thần, tiền bạc khi bị kẻ xấu lạm dụng sử dụng với mục đích xấu CHƯƠNG 5 ;TỔNG KẾT Các cuộc tấn công xâm nhập Báo cáo cho phép xem thông tin chi tiết về cuộc tấn công đã tấn công hệ thống và cung cấp thông tin chi tiết về những kẻ tấn công, nạn nhân và ứng dụng thông qua các báo cáo riêng lẻ Xem báo cáo từ Báo cáo > Mạng & Đe doạ > Tấn công xâm nhập > Tấn công xâm nhập Báo cáo được hiển thị bằng biểu đồ cũng như ở định dạng bảng Theo mặc định, báo cáo được hiển thị cho ngày hiện tại Ngày báo cáo có thể được thay đổi từ Bảng chọn ngày Bạn cũng có thể xem báo cáo này từ Bảng điều khiển bảo mật Biểu đồ thanh hiển thị số lần truy cập dưới mỗi cuộc tấn công, trong khi báo cáo dạng bảng chứa thông tin sau: •Tấn công: Tên của cuộc tấn công được phát động •Lượt truy cập: Số lượt truy cập cho mỗi lần tấn công Nhấp vào siêu liên kết Tấn công trong bảng hoặc biểu đồ để xem các Báo cáo Tấn công Xâm nhập đã Lọc Các Báo cáo Tấn công Xâm nhập có thể được lọc để lấy các báo cáo Tấn công Xâm nhập đã lọc Các Báo cáo Tấn công Xâm nhập được lọc có các báo cáo sau: •Thiết bị •Các hạng mục tấn công •Nền tảng bị tấn công 15 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 •Các cuộc tấn công khôn ngoan về mức độ nghiêm trọng •Mục tiêu tấn công •Các cuộc tấn công xâm nhập •Các cuộc tấn công được phát hiện và cho phép •Người dùng •Các ứng dụng được sử dụng để tấn công •Các quốc gia có kẻ tấn công •Kẻ tấn công •Nạn nhân •Các cuộc tấn công bị bỏ rơi Để nhận báo cáo Các cuộc tấn công xâm nhập đã lọc, bạn cần chọn một trong các tiêu chí lọc sau: •Tên thiết bị từ thiết bị •Danh mục từ Báo cáo Danh mục Tấn công •Nền tảng từ Báo cáo nền tảng bị tấn công •Mục tiêu từ Báo cáo Mục tiêu Tấn công •Mức độ nghiêm trọng từ Báo cáo phân tích khôn ngoan Mức độ nghiêm trọng •Báo cáo tấn công từ các cuộc tấn công xâm nhập •Tấn công từ các cuộc tấn công được phát hiện và cho phép Báo cáo •Kẻ tấn công từ báo cáo nguồn xâm nhập •Nạn nhân từ Báo cáo Điểm đến Xâm nhập •Người dùng từ Báo cáo Người dùng •Ứng dụng từ các Ứng dụng được sử dụng cho Báo cáo Tấn công 16 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 •Quốc gia từ các quốc gia nguồn Báo cáo Báo cáo được lọc bao gồm nhiều tiện ích con báo cáo Mỗi tiện ích con hiển thị báo cáo dưới dạng biểu đồ cũng như ở định dạng bảng có thể được lọc lại 17 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 Tài liệu tham khảo https://websitehcm.com/security-su-xam-pham-du-lieu-va-phan-mem/ https://123docz.net//document/4349266-truy-cap-trai-phep-vao-mang-giai- phap-va-cach-ngan-chan.htm https://text.123docz.net/document/465576-he-thong-phat-hien-xam-nhap-trai- phep-tren-mang-nids.htm 18 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 DANH SÁCH – ĐÁNH GIÁ Nhóm 11 STT HỌ VÀ TÊN MSSV NỘI DUNG THAM GIA 1 Nguyễn Phạm Trúc Anh 211A030847 Ưu- Nhược điểm 20% 2 Lý Đặng Trang Đài 201A210027 Cho ví dụ thực tế, ứng dụng 20% 3 Trần Gia Khang 211A050364 Phương pháp 20% 4 Nguyễn Trọng Nhân (NT) 191A030381 Tổng kết + tổng hợp file 20% Giới thiệu về chủ đề, Mô tả các thành phần, nguyên lý hoạt 5 Đặng Tấn Phát 201A080202 động 20% 19 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com) lOMoARcPSD|38837747 MỤC LỤC TRUY CẬP DỮ LIỆU TRÁI PHÉP TRÊN MẠNG 3 (INTRUSION ATTACK) 3 Giới thiệu về chủ đề 3 CHƯƠNG I ; MÔ TẢ CÁC THÀNH PHẦN VÀ NGUYÊN LÝ .3 1.1 Các thành phần .3 1.2 Cách thức hoạt động .5 CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP 6 PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS .6 2.1 Thế nào là bất thường trong mạng? 6 2 2 Các nguồn dữ liệu dùng cho phát hiện bất thường 7 2 2.1 Network Probes Network Probes 8 2 2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) 8 2.2.3 Dữ liệu từ các giao thức định tuyến .8 2.2.4 Dữ liệu từ các giao thức quản trị mạng 9 2.3 Các phương pháp phát hiện bất thường 10 2.3.1 Hệ chuyên gia ( Rule-based ) .10 2.3.2 Mạng Nơ-ron ( Artificial Neural Network) 11 CHƯƠNG 3; CHO VÍ DỤ THỰC TẾ VÀ ỨNG DỤNG 12 3.1 Xâm nhập ( Intrusion ) .12 3.2 Cách thức xâm nhập vào hệ thống 12 3.3 Những lỗ hổng an ninh có thể xâm nhập: .13 CHƯƠNG 4; ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 13 4.1 Ưu điểm .13 4.2 Nhược điểm .13 CHƯƠNG 5 ;TỔNG KẾT 14 Tài liệu tham khảo 16 DANH SÁCH – ĐÁNH GIÁ Nhóm 11 17 MỤC LỤC 18 20 Downloaded by Yen Nguyen (nguyenyen.11@gmail.com)