Việc đảm bảo an toàn thông tin trở thành một yêu cầu quan trọng, đã có nhiều phương pháp được phát triển dé đảm bảo cho hạ tang mạng và giao tiếp trên Internet như: sử dung firewall, enc
Trang 1MO DAU
An ninh thông tin nói chung và an ninh mang nói riêng đang là van
đề được quan tâm hiện nay Việc đảm bảo an toàn thông tin trở thành một
yêu cầu quan trọng, đã có nhiều phương pháp được phát triển dé đảm bảo cho hạ tang mạng và giao tiếp trên Internet như: sử dung firewall, encryption (mã hóa), VPN (mạng riêng ảo) trong đó có hệ thống phát
hiện xâm nhập Sử dụng phương thức phát hiện xâm nhập, có thé thu thập,
sử dụng thông tin từ những loại tan công đã biết dé tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân
Đề tài luận văn “Nghiên cứu hệ thống phát hiện xâm nhập và ứng
dụng triển khai tại Sở giáo dục và Đào tạo Hà Nội” sẽ tập trung nghiên
cứu về hệ thống phát hiện xâm nhập và xây dựng mô hình ứng dụng cho
hệ thống mạng của Sở giáo dục Đảo tạo Hà Nội dựa trên hệ thống Snort
Do Snort được cung cấp theo dang mã mở nên người dùng có thé tự do sửa đối, cải tiến theo yêu cầu ngoài ra Snort hoàn toàn miễn phí nên sẽ giảm được đáng kể chi phí triển khai ban đầu
Luận văn bao gôm 3 chương với nội dung như sau:
Chương 1 - Tổng quan về hệ thống phát hiện và phòng chống xâm nhập.
Giới thiệu về hệ thống phát hiện và phòng chống xâm nhập, chức
năng cũng như phân loại hệ thống, trình bảy về kiến trúc của hệ thống phát hiện xâm nhập, cơ chế hoạt động, và một số sản phẩm phát hiện và phòng chống xâm nhập IDS.
Chương 2 - Các kỹ thuật phát hiện xâm nhập hệ thống
Chương nảy trình bày một số phương thức xâm nhập, tan công hệ
thống mạng điển hình hiện nay, sau đó đưa các kỹ thuật nhằm phát hiện
xâm nhập hệ thống bao gồm các phương thức phát hiện, cách thức thu
thập, xử lí dữ liệu của hệ thống phát nhằm phát hiện ra xâm nhập
Trang 2Chương 3 - Xây dựng mô hình ứng dụng cho Sở giáo dục và Đào tạo
Hà Nội
Luận văn giới thiệu về Snort, tìm hiểu các rule của Snort, phân tích
các yêu cầu xây dựng hệ thống từ đó đề xuất mô hình hệ thống phát hiện
xâm nhập mạng dựa trên Snort cho Sở giáo dục Hà Nội Luận văn cũng
tiên hành cài mô hình phát hiện xâm nhập Snort và xây dựng thử nghiệm
một số kịch bản phát hiện xâm nhập sử dụng Snort với các rule tương ứng.
CHUONG 1: TONG QUAN VE HỆ THONG PHAT HIỆN VÀ PHONG CHONG XAM NHAP
Khai niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson vào năm 1980 [5] Các nghiên cứu về hệ thống phát hiện xâm
nhập được nghiên cứu chính thức từ năm 1983 đến năm 1989 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Đến năm 1997
IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng cua IDS
và đã mua lại một công ty cung cấp giải pháp IDS Wheel Hiện tại, các
thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được
sử dụng nhiều nhất và vẫn còn phát trién
1.1 Khái niệm về IDS/IPS
Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc phần
mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thông máy
tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với
vẫn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tắn công như sưu tập, quét các cổng
1.2 Sự khác nhau giữa IDS/IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ở tên gọi: “phát hiện” và “ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ
Trang 3yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính
nó đang bảo vệ trong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thé tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn
1.3 Chức năng của IDS/IPS
Chức năng quan trọng nhất là: Giám sát - cảnh báo - bảo vệ Chức năng mở rộng:
e Phân biệt: tấn công bên trong và tấn công bên ngoài
e Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc
nhờ vảo sự so sánh thông lượng mạng hiện tại với Baseline.
e Ngăn chặn sự gia tăng của những tan công
e Bồ sung những điểm yếu mà các hệ thống khác chưa làm được
e Đánh giá chất lượng của việc thiết kế hệ thống
1.4 Nơi đặt IDS
External Network 1
—_
=Z VPN External Network 2
= 3
Ea Server FIP Seren Mail Serverl
=2 IDRAI
g2 IDS
AI 5 củ,Internal Network:
Hinh 1.1: Noi dat IDS
1.5 Phan loai IDS/IPS
Cac hé thong IDS được chia thành các loại sau:
e Network-based IDS (NIDS): Sử dung dữ liệu trên toàn bộ lưu thông
mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm dé phat
hiện xâm nhập.
Trang 4¢ Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm
đơn dé phát hiện xâm nhập
1.5.1 Nehwork based IDS (NIDS)
NIDS[1] là hệ thống IDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài dé giám sát tat cả lưu lượng vao ra Loại IDS nay
có thé là một thiết bị phần cứng riêng biệt được thiết lập san hoặc phần mềm cài đặt trên máy tính, chủ yếu dùng dé đo lưu lượng mạng được sử dụng.
1.5.1.1 Ưu điểm của NIDS
1.5.1.2 Nhược điểm của NIDS
1.5.2 Host based IDS — HIDS
Loại IDS này được cai đặt cục bộ trên một máy tính lam cho nó trở
nên linh hoạt hơn nhiều so với NIDS Chức năng chính của HIDS là kiểm
soát lưu lượng vào ra trên một máy tính, có thê được triển khai trên nhiều
máy this trong hệ thống mạng.
1.5.2.1 Ưu điểm của HIDS
1.5.2.2 Nhược điểm của HIDS
1.5.3 So sánh giữa NIDS và HIDS.
1.6 Kiến trúc của hệ thống IDS
Hệ thống IDS [8] bao gồm các thành phan chính: thành phan thu thập gói tin (information collection), thành phần phân tích gói tin(Dectection),
thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tan
công của tin tặc Trong ba thành phần này thì thành phần phân tích gói tin
là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết
định.
Trang 5Analyzer (Sensor) :
Set of Events (Syslogs, System status, Network Packet)
Informationi
Collection ;
System) Detection Response
Informationi Policy: Policy,
-Information Colletion Response
Hình 1.2: Thanh phan của IDS
1.7 Một số sản phẩm của IDS
Phần này giới thiệu một số sản phẩm IDS, IPS thương mại cũng như miễn phí phô biến, những sản phẩm điền hình trong lĩnh vực phát hiện va phòng chống xâm nhập.
1.7.1 Cisco IDS-4250
Cisco IDS (con có tên là NetRanger) là một hệ thống NIDS, có kha
năng theo dõi toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện
các dau hiệu xâm nhập
1.7.2 ISS Proventia A201
Proventia A201 1a san pham cua hang Internet Security Systems Vé mặt bản chat, Proventia không chi là một hệ thống phan mềm hay phan
cứng mà nó là một hệ thống các thiết bị được triển khai phân tán trong mạng được bảo vệ.
1.7.3 NFR NID-310 NFR
NFR NID-310 NFR là sản pham của NFR Security Inc Cũng giống như Proventia, NFR NID là một hệ thống hướng thiết bi (appliance-based).
1.7.4 Snort IDS
Snort là phần mềm IDS mã nguồn mở, được phat triển bởi Martin Roesh Snort đầu tiên được xây dựng trên nền Unix sau đó phát triển sang
Trang 6các nền tảng khác Snort được đánh giá là IDS mã nguồn mở đáng chú ý nhất với những tính năng rất mạnh Chi tiết về Snort sẽ được trình bay
trong phần chương 3 của đề tài.
1.8 Kết chương
Chương 1 đã trình bày tổng quan về hệ thống phát hiện và phòng chống xâm nhập bao gồm giới thiệu về hệ thống, các khái niệm, chức năng cũng như phân loại hệ thống IDS, so sánh sự khác nhau giữa 2 hệ thống
Trình bày nguyên lí hoạt động của hệ thống phát hiện xâm nhập cũng như
cơ chế hoạt động của hệ thống Dua ra một số sản phẩm IDS/IPS thương
mại cũng như miên phí hiện nay.
Trang 7CHƯƠNG2: CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP HỆ
THÓNG MẠNG
Phát hiện xâm nhập có thê hiểu là tiến trình theo dõi các sự kiện xảy
ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng dé tìm
ra các dấu hiệu “xâm nhập bất hợp pháp” Chương 2 sẽ đưa ra một số phương thức tan công hệ thống mạng hiện nay cũng như các biện pháp đối phó, sau đó sẽ đưa ra các phương pháp nhận diện, kỹ thuật phát hiện xâm
nhập bất hợp pháp vào hệ thống dựa trên hệ thống phát hiện và phòng chống xâm nhập IDS đã trình bày ở chương 1.
2.1 Một số phương thức tan công hệ thống mang
2.1.1.Tan công từ chối dịch vu (Denial of Service Attack)
Cho dù da dạng về kích cỡ và hình dang, tir subtle malformed packet đến full-blown packet storm, Denial of Service (DoS) attack có mục đích chung là dong băng hay chan đứng tai nguyên của hệ thống đích Cuối cùng, mục tiêu trở nên không thê tiếp cận và không thê trả lời
2.1.2 Quét và thăm dò (Scanning and Probe)
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định
điểm yếu Tuy các công cu này được thiết kế cho mục đích phân tích dé
phòng ngừa, nhưng chúng có thé được sử dụng dé gây hại cho hệ thống.
Các công cụ quét và thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon.
2.1.3 Tấn công vào mật mã (Password attack)
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính
linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại
mọi thành phần trong mạng Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi la brute force bang cach thir nhiéu mat ma dé mong tim được mat ma dung
Trang 82.1.4 Chiém đặc quyền (Privilege-grabbing)
Khi kẻ tan công đã xâm nhập được vào hệ thống, chúng sẽ cô chiếm
quyên truy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ
điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là
“Admimistrator”, trên NetWare la “Supervisor”.
2.1.5 Cai đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thể lay trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor
cho lần truy nhập trái phép tiếp theo.
2.1.6 Hanh động phá hoại trên may móc (Cyber vandalism)
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động và chương trình hệ điều hành, format 6 đĩa
2.1.7 An trom dữ liệu quan trọng (Proprietary data theft)
Mặc dù hon 80% các cuộc tấn công liên quan đến thông tin quan
trọng đều xảy ra ngay trong tô chức đó, số các cuộc tấn công từ bên ngoài
đã liên tục tang trong một vai năm qua.
2.1.8 Gian lận, lãng phí và lạm dung (Fraud, waste, abuse)
Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên
quan đến kinh tế trong thời kỳ hiện nay Gian lận liên quan đến việc chuyên tiền bất hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà
băng, và thao túng chương trình kiểm tra viết (check writing) Lãng phí và
lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho
các công việc đi ngược lại với mục đích của tổ chức.
2.1.9 Can thiệp vào biên ban (Audit trail tampering)
Như đã nói đến ở trên, hầu hết các thông tin tạo nên từ các hành động của người dùng được ghi trong các audit trail riêng của hệ thống Can thiệp
vào biên bản là cách được ưa thích dé loại bỏ hay che dấu vết.
Trang 92.1.10 Tan công hạ tang bảo mật (Security infrastructure attack)
Có nhiều loại tan công can thiệp vào việc điều khiển cơ bản của cơ
sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của file Tan công vào cơ sở hạ
tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều
đường xâm nhập vào hệ thống hay mạng
2.2 Các phương pháp nhận diện
Có thể chia làm ba phương pháp nhận diện là:
2.2.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)
Nhận diện dựa trên dấu hiệu [7] là quá trình so sánh các sự kiện giám sat với các dau hiệu dé xác định các nguy cơ có thé là một tan công
Trong đó dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa
được biết đến
2.2.2 Nhận diện sự bất thường (Abnormaly-base Detection)
Nhận diện sự bất thường là so sánh định nghĩa của những hoạt động
bình thường và đối tượng quan sát nhằm xác định các độ lệch Một hệ IDS
sử dụng phương pháp Anormaly-base detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian Sau khi đã xây dung được tập các profile này, hệ IDS sử dụng phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng dé phát hiện ra những bat thường
2.2.3 Phan tích trạng thai giao thức (Stateful Protocol Analysis)
Phân tích trang thai protocol [7] là quá trình so sánh các profile định trước của hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ lệch.
Trang 102.3 Các phương pháp thu thập, xử lí dữ liệu của IDS
2.3.I Các phương pháp thu thập dữ liệu
Thu thập dữ liệu là một trong bước quan trọng khi thiết kế một hệ
thống phát hiện xâm nhập, nó ảnh hưởng đến toàn bộ quá trình thiết kế, cài đặt và kết quả phát hiện
2.3.1.1 Phương pháp thu thập dữ liệu cho HIDS
2.3.1.2 Phương thức thu thập dữ liệu cho NIDS
2.3.1.3 Phương thức thu thập dữ liệu cho IDS tích hợp với ứng dụng
2.3.2 Tiền xử lí dữ liệu
Tiền xử lý dữ liệu [2] đóng vai trò quan trọng trong phát hiện xâm
nhập, giúp giảm thời gian phân tích, xử lý đữ liệu ở các bước tiếp theo Kỹ
thuật tiền xử lý đữ liệu bao gồm bốn bước chính như sau:
e Làm gọn dữ liệu
e Tích hợp dữ liệu
e Lựa chọn dữ liệu
e Chuyên đổi dữ liệu
2.3.3 Các phương pháp xử lí dữ liệu
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm
nhập, các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu
đối với một IDS Dưới đây là một số hệ thống được mô tả van tắt:
2.3.3.1 Phương pháp phân tích thống kê
2.3.3.2 Phương thức mạng Neural networks
2.3.3.3 Phân biệt ý định người dùng
2.4 Các kỹ thuật phát hiện xâm nhập
2.4.1 Kỹ thuật phát hiện dựa trên sự lạm dụng
Các nghiên cứu về phát hiện xâm nhập dựa trên phương pháp phát
hiện sự lạm dụng bắt đầu vào năm 1980 với báo cáo của James Anderson
[5] Trong đó hành vi xâm nhập được phát hiện bằng cách so sánh những
Trang 11hành vi được giám sat với các hành vi tan công mẫu đã biết Do đó phương pháp này chỉ có hiệu quả trong việc phát hiện các dạng tấn công, xâm nhập
đã biết
2.4.1.1 Kỹ thuật đối sánh mẫu (Pattern Matching)
2.4.1.2 Kỹ thuật dựa trên tập luật
2.4.1.3 Kỹ thuật dựa trên trạng thái
2.4.1.4 Kỹ thuật dựa trên khai phá dữ liệu.
2.4.2 Kỹ thuật phát hiện dựa trên sự bat thường
Kỹ thuật phát hiện dựa trên sự bat thuong [2] la dua vao viéc thiét
lập hồ sơ hoạt động bình thường cho hệ thống Phuong pháp này dựa trên giả định các hành vi tấn công, xâm nhập có quan hệ mật thiết với các hành
vi bất thường Các nghiên cứu phát hiện bất thường bắt đầu bằng cách định
nghĩa những hành động như thế nào được coi là bình thường, và sau đó
xác định những hoạt động nao là xâm nhập và phương pháp phân biệt từng
hành động xâm nhập cụ thể.
2.4.2.1 Kỹ thuật phát hiện dựa trên mô hình thống kê mở rộng
2.4.2.2 Kỹ thuật phát hiện dựa trên tập luật
2.4.2.3 Kỹ thuật dựa trên mô hình sinh học
2.4.2.3 Kỹ thuật dựa trên mô hình học tập.
2.4.3 Kỹ thuật phát hiện dựa trên đặc trưng
Phương pháp phát hiện dựa trên đặc trưng [2] không sử dụng phương pháp phát hiện dựa trên sự lạm dụng hoặc dị thường mà sử dụng hệ thống
hành vi đặc trưng dé phat hién cac cudc tan cong Thay vi hoc hanh vi hé thống, trong hệ thống dựa trên đặc trưng kiến thức của các chuyên gia sẽ
xác định các giới hạn hoạt động (ngưỡng) của một hệ thống Khi một
hành vi hệ thống là chuẩn được xác định, các sự kiện sai lệch so với đặc
trưng hệ thống chuẩn sẽ tao ra một cảnh báo