Trong bối cảnh các cuộc tấn công mạngngày càng trở nên phức tạp và nguy hiểm, IDPS cung cấp khả năng giám sát liên tục, phântích lưu lượng mạng và phát hiện các hành vi bất thường hoặc c
TỔNG QUAN
Lý do chọn đề tài
Trong bối cảnh gia tăng các mối đe dọa mạng, việc phát hiện và ứng phó nhanh chóng với các cuộc tấn công là rất quan trọng Hệ thống IDPS đóng vai trò thiết yếu trong việc bảo vệ dữ liệu và tài nguyên mạng trước các hành vi độc hại Nghiên cứu và cải tiến các phương pháp phát hiện xâm nhập không chỉ nâng cao khả năng bảo mật mà còn đảm bảo an toàn thông tin cho tổ chức.
Số vụ tấn công mạng từ tháng 8/2021 đến tháng 7/2022
Chúng em mong muốn đề xuất các giải pháp hiệu quả và ứng dụng công nghệ tiên tiến nhằm nâng cao độ chính xác và giảm thiểu báo động giả trong hệ thống IDPS Chúng em tin rằng nghiên cứu này sẽ mang lại những hiểu biết quan trọng và ứng dụng thực tiễn để bảo vệ mạng lưới khỏi các mối đe dọa ngày càng tinh vi.
Phân tích hiện trạng
Hiện nay, xâm nhập mạng đang trở thành vấn đề nghiêm trọng và phức tạp, với số lượng và mức độ tinh vi của các cuộc tấn công mạng ngày càng gia tăng Những mối đe dọa này ảnh hưởng nghiêm trọng đến an toàn thông tin và hệ thống mạng Các nhóm hacker và tội phạm mạng áp dụng nhiều kỹ thuật khác nhau, bao gồm tấn công phishing, ransomware và khai thác lỗ hổng bảo mật để xâm nhập và gây hại.
Các cuộc tấn công xâm nhập mạng gần đây:
Vào năm 2023, phần mềm trao đổi tập tin MOVEit đã gặp phải một lỗ hổng nghiêm trọng, bị nhóm tin tặc Clop khai thác, dẫn đến rò rỉ dữ liệu nhạy cảm của hàng triệu người dùng và doanh nghiệp Sự kiện này nhấn mạnh mối nguy hiểm tiềm ẩn từ các lỗ hổng trong các công cụ trao đổi dữ liệu, cảnh báo về tầm quan trọng của việc bảo mật thông tin.
Vào năm 2023, tin tặc đã khai thác lỗ hổng trong phần mềm 3CX, một hệ thống điện thoại VoIP phổ biến, dẫn đến việc phân phối phần mềm độc hại và tấn công vào hệ thống của nhiều tổ chức lớn Vụ tấn công này đã ảnh hưởng đến hàng ngàn khách hàng trên toàn cầu.
Hơn 300 doanh nghiệp và tổ chức tài chính có thể đã là nạn nhân APT vào 3CX
Cuộc tấn công vào LastPass trong năm 2023 đã khiến dịch vụ quản lý mật khẩu này bị xâm nhập hai lần, dẫn đến việc lộ thông tin mã hóa và dữ liệu nhạy cảm của hàng triệu người dùng Sự kiện này đã tạo ra mối lo ngại lớn về bảo mật thông tin cá nhân, khiến người dùng phải xem xét lại độ tin cậy của dịch vụ.
Vào năm 2023, MGM Resorts đã trở thành nạn nhân của một cuộc tấn công ransomware nghiêm trọng, khiến hệ thống của họ bị tê liệt và ảnh hưởng lớn đến hoạt động kinh doanh Cuộc tấn công này đã gây ra sự gián đoạn trong dịch vụ khách sạn và casino, dẫn đến thiệt hại nặng nề về tài chính cũng như uy tín của công ty.
Thông báo sự cố an ninh của MGM Resorts
Vào năm 2022, Viasat, nhà cung cấp dịch vụ truyền thông vệ tinh, đã bị tấn công mạng trước khi xung đột Nga-Ukraine bùng nổ, gây mất kết nối internet cho hàng ngàn khách hàng tại châu Âu Cuộc tấn công này đã chỉ ra sự nhắm mục tiêu chiến lược vào cơ sở hạ tầng quan trọng, làm nổi bật mối đe dọa từ các cuộc tấn công mạng đối với an ninh thông tin.
Chảo vệ tinh Internet Viasat ở bang Virginia, Mỹ
Ý nghĩa thực tiễn của đề tài
Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập
Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng
Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp.
GIỚI THIỆU VỀ HỆ THỐNG IDPS
Tổng quan về hệ thống IDPS
Hệ thống phát hiện và phòng ngừa xâm nhập (IDPS) là giải pháp bảo mật tích hợp nhằm giám sát và phản ứng với các mối đe dọa trong mạng máy tính IDPS kết hợp hai chức năng chính là phát hiện và phòng ngừa, giúp bảo vệ hệ thống thông tin khỏi hành vi đáng ngờ.
Hệ thống phát hiện xâm nhập (IDPS) giám sát lưu lượng mạng và hoạt động của hệ thống nhằm phát hiện các hành vi bất thường và dấu hiệu của các cuộc tấn công mạng, bao gồm tấn công khai thác lỗ hổng, phần mềm độc hại và truy cập trái phép Khi nhận diện được mối đe dọa, IDPS sẽ gửi cảnh báo hoặc báo cáo đến các quản trị viên hệ thống để kịp thời xử lý.
Phòng ngừa xâm nhập là một phần quan trọng trong hệ thống IDPS, không chỉ phát hiện mối đe dọa mà còn thực hiện các biện pháp chủ động để ngăn chặn hoặc giảm thiểu thiệt hại từ các cuộc tấn công Các biện pháp này bao gồm việc chặn địa chỉ IP độc hại, ngắt kết nối phiên, điều chỉnh quy tắc bảo mật, và thực hiện các hành động cần thiết để bảo vệ hệ thống một cách hiệu quả.
IDPS là giải pháp bảo vệ mạng toàn diện, không chỉ phát hiện mối đe dọa mà còn thực hiện các biện pháp phòng ngừa để ngăn chặn các mối đe dọa ngay lập tức.
Phân loại hệ thống IDPS
Mô hình Network-based IDPS a) Khái niệm
Network-based IDPS là hệ thống bảo mật mạng chuyên giám sát và phân tích lưu lượng để phát hiện và ngăn chặn các hành vi hoặc tấn công bất thường Hệ thống này sử dụng cảm biến để thu thập dữ liệu từ các điểm chiến lược trong mạng, từ đó phân tích và nhận diện các mối đe dọa thông qua nhiều phương pháp phát hiện khác nhau.
NIDS: Theo dõi và phân tích lưu lượng mạng để phát hiện các mối đe dọa hoặc hành vi đáng ngờ.
NIPS (Network Intrusion Prevention System) là hệ thống theo dõi và phân tích lưu lượng mạng nhằm phát hiện và ngăn chặn các mối đe dọa Hệ thống này có khả năng thực hiện các hành động như chặn lưu lượng hoặc cắt kết nối để bảo vệ mạng lưới Lợi thế của NIPS là khả năng phát hiện sớm và phản ứng nhanh chóng trước các cuộc tấn công mạng, giúp tăng cường an ninh cho hệ thống.
Phát hiện sớm các tấn công: Network-based IDPS có khả năng phát hiện các
IDPS dựa trên mạng cung cấp khả năng bảo vệ toàn diện cho toàn bộ hệ thống mạng, bao gồm máy chủ, thiết bị và ứng dụng Việc triển khai tại các điểm chiến lược giúp đảm bảo an ninh mà không cần cài đặt phần mềm trên từng thiết bị.
Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng (IDPS) cho phép giám sát và phân tích lưu lượng mạng một cách tập trung, từ đó giúp phát hiện các mẫu tấn công mà có thể không dễ dàng nhận ra khi chỉ xem xét từng thiết bị riêng lẻ.
Hệ thống lưu trữ dữ liệu phân tích lịch sử cung cấp cho các quản trị viên khả năng xem xét và phân tích các sự cố trong quá khứ, từ đó nâng cao hiệu quả của các biện pháp bảo mật trong tương lai.
Phương pháp phát hiện dựa trên hành vi có khả năng nhận diện các tấn công chưa được biết đến bằng cách phân tích và phát hiện các hoạt động bất thường trong lưu lượng mạng Tuy nhiên, phương pháp này cũng có những hạn chế nhất định.
Báo động giả là một thách thức lớn đối với hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng (IDPS) Khi hệ thống không được cấu hình hoặc tinh chỉnh đúng cách, nó có thể phát hiện các hoạt động bình thường như là tấn công, dẫn đến việc quản trị viên phải xử lý một lượng lớn cảnh báo sai lệch.
Phân tích lưu lượng mạng có thể tạo ra tải trọng cao cho hệ thống, đặc biệt trong các mạng lớn với khối lượng dữ liệu lớn Tình trạng này có thể ảnh hưởng tiêu cực đến hiệu suất của hệ thống mạng.
Khả năng mã hóa dữ liệu trong lưu lượng mạng có thể gây khó khăn cho hệ thống phát hiện xâm nhập dựa trên mạng (IDPS) trong việc phân tích thông tin Điều này dẫn đến việc giảm hiệu quả phát hiện các cuộc tấn công diễn ra bên trong các kết nối được mã hóa.
Để đảm bảo hiệu quả trong việc phát hiện tấn công, cần cập nhật thường xuyên cơ sở dữ liệu chữ ký và các phương pháp phát hiện Quá trình này đòi hỏi sự quản lý và duy trì liên tục, có thể dẫn đến việc tăng chi phí và công sức.
Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng (IDPS) rất hiệu quả trong việc bảo vệ chống lại các tấn công từ bên ngoài, nhưng lại không đủ khả năng bảo vệ trước các tấn công nội bộ Những cuộc tấn công này thường không tạo ra hành vi bất thường rõ rệt trong lưu lượng mạng, dẫn đến việc chúng có thể không được phát hiện bởi hệ thống.
Mô hình Host-based IDPS a) Khái Niệm
Host-Based IDPS là một hệ thống bảo mật được cài đặt trên máy chủ hoặc thiết bị cá nhân trong mạng, có chức năng giám sát và phân tích hoạt động của hệ thống, bao gồm file hệ thống, hoạt động của ứng dụng và các sự kiện hệ thống Mục tiêu của hệ thống này là phát hiện và ngăn chặn các hành vi xâm nhập hoặc tấn công.
IDS: Theo dõi và phân tích hoạt động trên một máy chủ hoặc thiết bị cá nhân để phát hiện các mối đe dọa hoặc hành vi đáng ngờ.
IPS: Theo dõi, phân tích và thực hiện các hành động để ngăn chặn các mối đe dọa trên máy chủ hoặc thiết bị cá nhân. c) Lợi Thế
Giám sát chính xác cho phép theo dõi chi tiết và bảo vệ mạnh mẽ cho các hoạt động trên máy chủ hoặc thiết bị cá nhân, bao gồm cả việc phát hiện các cuộc tấn công nhằm vào ứng dụng hoặc hệ điều hành.
Phát hiện các tấn công không qua mạng cho phép xác định các cuộc tấn công nội bộ và hành vi đáng ngờ mà không phụ thuộc vào lưu lượng mạng Điều này bao gồm việc phát hiện các cuộc tấn công vào ứng dụng và khai thác lỗ hổng phần mềm.
Phát hiện và phản ứng nhanh chóng:
Phát hiện tại điểm xảy ra: Phát hiện tấn công ngay tại nơi nó xảy ra, giúp giảm thời gian phản ứng và giảm thiểu thiệt hại.
Phản hồi kịp thời là yếu tố quan trọng trong việc bảo vệ hệ thống, cho phép thực hiện các hành động tự động như chặn các hành động độc hại và gửi cảnh báo ngay lập tức khi phát hiện mối đe dọa.
Bảo mật cá nhân hóa:
Cơ chế hoạt động của IDPS
Lưu lượng mạng: Dữ liệu được thu thập từ các gói tin mạng đang đi qua các thiết bị mạng như router hoặc switch.
Hệ thống hoạt động hiệu quả nhờ vào việc thu thập dữ liệu từ các log của hệ thống và ứng dụng, cũng như từ các tài nguyên hệ thống như CPU, bộ nhớ và đĩa cứng.
Cảm biến mạng là các thiết bị được lắp đặt tại những vị trí quan trọng trong hệ thống mạng nhằm thu thập và phân tích lưu lượng dữ liệu Chúng bao gồm các thiết bị phân tích gói tin và phần mềm giám sát lưu lượng mạng, giúp nâng cao hiệu quả quản lý và bảo mật mạng.
Cảm biến hệ thống (Host Sensors) được cài đặt trực tiếp trên máy chủ hoặc thiết bị đầu cuối nhằm theo dõi hoạt động của hệ thống và ứng dụng Chúng bao gồm phần mềm giám sát hoạt động hệ thống và hệ thống log, giúp đảm bảo hiệu suất và bảo mật cho các dịch vụ.
2.3.2 Tiền Xử Lý Dữ Liệu
Loại bỏ dữ liệu không cần thiết là một bước quan trọng trong quá trình phân tích Việc này bao gồm việc loại bỏ các gói tin không liên quan, chẳng hạn như các gói tin kiểm tra (ping) và các gói tin không phải là mục tiêu của phân tích Bằng cách này, chúng ta có thể tập trung vào dữ liệu chính, từ đó nâng cao hiệu quả và độ chính xác của phân tích.
Xử Lý Dữ Liệu Không Định Kỳ: Loại bỏ các dữ liệu từ các nguồn đáng ngờ hoặc không đáng tin cậy.
Chuyển đổi định dạng là quá trình chuyển đổi dữ liệu từ định dạng gốc, chẳng hạn như định dạng gói tin, sang một định dạng có thể phân tích được, ví dụ như cấu trúc đối tượng hoặc bảng.
Tổng Hợp Dữ Liệu: Tập hợp dữ liệu từ nhiều nguồn để có cái nhìn tổng quan hơn về hoạt động hệ thống hoặc mạng.
Phân Tích Dựa Trên Chữ Ký:
Cơ sở dữ liệu chữ ký là công cụ quan trọng trong việc so sánh dữ liệu thu thập được với các mẫu chữ ký tấn công đã được xác định Những chữ ký này có thể bao gồm chuỗi byte, mẫu giao thức, hoặc các đặc điểm tấn công đã biết, giúp nhận diện và ngăn chặn các mối đe dọa tiềm ẩn.
Khớp mẫu là quá trình tìm kiếm các mẫu dữ liệu trong gói tin hoặc hoạt động hệ thống nhằm xác định sự phù hợp với các chữ ký tấn công Khi phát hiện sự khớp, hệ thống sẽ tự động tạo cảnh báo về một cuộc tấn công tiềm ẩn.
Phân Tích Dựa Trên Hành Vi:
Xây dựng mô hình hành vi là quá trình phân tích dữ liệu lịch sử nhằm xác định các mẫu hành vi bình thường của hệ thống hoặc mạng Bằng cách này, chúng ta có thể tạo ra một mô hình hành vi chuẩn, giúp nhận diện và phân tích các hoạt động bất thường trong môi trường mạng.
So sánh hành vi hiện tại với mô hình hành vi bình thường giúp phát hiện các bất thường trong hoạt động Chẳng hạn, nếu một ứng dụng thường xuyên gửi dữ liệu đến một địa chỉ IP cụ thể nhưng đột ngột chuyển sang gửi dữ liệu đến nhiều địa chỉ khác, đây có thể là dấu hiệu của một hành vi không bình thường cần được điều tra.
IP khác, đây có thể là hành vi đáng ngờ.
Phân Tích Dựa Trên Anomaly:
Để đảm bảo an toàn và hiệu quả trong quản lý hệ thống, việc thiết lập ngưỡng cho các chỉ số bất thường là rất quan trọng Điều này bao gồm việc xác định các ngưỡng cho số lượng yêu cầu không hợp lệ, lưu lượng mạng cao bất thường và sự gia tăng đột ngột của các lỗi hệ thống Việc này giúp phát hiện sớm các vấn đề tiềm ẩn và thực hiện các biện pháp khắc phục kịp thời.
Phát hiện bất thường là quá trình nhận diện các hành vi hoặc sự kiện vượt quá các ngưỡng đã được thiết lập Chẳng hạn, nếu một dịch vụ web thường chỉ nhận 100 yêu cầu mỗi phút nhưng bỗng nhiên nhận đến 1.000 yêu cầu mỗi phút, hệ thống sẽ ngay lập tức nhận diện tình huống này là bất thường.
Khi phát hiện một cuộc tấn công hoặc hành vi bất thường, hệ thống IDPS sẽ tạo ra một sự kiện hoặc cảnh báo Cảnh báo này cung cấp thông tin chi tiết về sự cố, bao gồm loại tấn công, địa chỉ IP của kẻ tấn công và thời gian xảy ra.
Cảnh báo chi tiết cung cấp thông tin quan trọng như ID sự kiện, mô tả về các cuộc tấn công hoặc hành vi bất thường, cùng với những dấu hiệu đặc trưng của các cuộc tấn công này.
Thông báo cho người quản trị cần được gửi qua email, SMS hoặc giao diện người dùng của hệ thống quản lý để kịp thời thông tin về sự cố.
2.3.5 Phản Hồi và Ngăn Chặn
Ngăn chặn địa chỉ IP là một biện pháp quan trọng trong hệ thống IPS, cho phép tự động chặn địa chỉ IP của kẻ tấn công ngay khi phát hiện cuộc tấn công, hoặc cắt đứt các kết nối từ địa chỉ đó để bảo vệ mạng.
Điều Chỉnh Tường Lửa: Cập nhật cấu hình tường lửa để chặn các yêu cầu không hợp lệ hoặc các giao thức nghi ngờ.
Cập Nhật Quy Tắc Bảo Mật: Điều chỉnh quy tắc bảo mật hoặc cấu hình hệ thống để ngăn chặn các cuộc tấn công tương tự trong tương lai.
Các công cụ phát hiện xâm nhập mạng phổ biến
Trong bảo mật mạng, hệ thống phát hiện và phòng chống xâm nhập (IDPS) là yếu tố then chốt để bảo vệ tài nguyên số IDPS giúp phát hiện và ngăn chặn các cuộc tấn công mạng, từ mã độc đến xâm nhập tinh vi, thông qua việc theo dõi và phân tích lưu lượng mạng liên tục Hệ thống này cung cấp khả năng phản ứng nhanh trước các mối đe dọa, bảo vệ thông tin nhạy cảm và duy trì hoạt động ổn định của hệ thống Việc tích hợp IDPS không chỉ nâng cao bảo mật mà còn hỗ trợ quản trị viên trong việc phân tích và ứng phó với sự cố bảo mật một cách hiệu quả.
Snort là một công cụ mã nguồn mở nổi tiếng trong lĩnh vực phát hiện và ngăn chặn xâm nhập mạng (IDPS), được phát triển bởi Sourcefire, hiện thuộc sở hữu của Cisco Công cụ này được ưa chuộng nhờ tính linh hoạt, hiệu suất cao và khả năng tùy chỉnh.
2.4.1.1 Khái Niệm Cơ Bản về Snort
Snort là một công cụ IDS/IPS mạnh mẽ, chuyên phân tích lưu lượng mạng theo thời gian thực để phát hiện các cuộc tấn công và thực hiện các hành động phản hồi kịp thời Với khả năng hoạt động như một trình phân tích gói tin, Snort có thể xử lý đa dạng các loại tấn công và mối đe dọa bảo mật thông qua việc sử dụng các quy tắc chữ ký nhằm xác định các mẫu tấn công hiệu quả.
2.4.1.2 Các Tính Năng Chính của Snort
Snort sử dụng cơ sở dữ liệu quy tắc chữ ký để phát hiện các mẫu tấn công đã biết, giúp nhận diện các loại tấn công cụ thể như SQL Injection, XSS và nhiều mối đe dọa khác.
Snort có khả năng phân tích lưu lượng mạng, giúp phát hiện các hành vi bất thường so với mẫu hành vi thông thường Điều này cho phép người dùng nhận diện và phản ứng kịp thời với các mối đe dọa tiềm ẩn trong hệ thống mạng.
Ngăn Chặn Xâm Nhập (IPS) là một tính năng quan trọng của Snort, cho phép phần mềm này hoạt động trong chế độ ngăn chặn để chặn các kết nối mạng nghi ngờ hoặc không hợp lệ.
Ghi Nhận và Báo Cáo: Snort ghi lại các sự kiện và tạo báo cáo chi tiết về các mối đe dọa và sự cố bảo mật.
Người dùng có khả năng tùy biến quy tắc chữ ký, cho phép họ viết và điều chỉnh các quy tắc này để phát hiện ra những loại tấn công mới hoặc phù hợp với đặc thù của môi trường mà họ đang sử dụng.
Hỗ Trợ Đa Nền Tảng: Snort có thể chạy trên nhiều hệ điều hành khác nhau như Linux, Windows, và macOS.
2.4.1.3 Cấu Trúc và Hoạt Động của Snort
Cảm Biến và Trình Phân Tích (Sensor and Analyzer):
Cảm Biến: Snort có khả năng thu thập dữ liệu từ lưu lượng mạng thông qua các giao diện mạng của hệ thống.
Trình Phân Tích: Dữ liệu được phân tích theo thời gian thực để tìm kiếm các mẫu tấn công hoặc hành vi bất thường.
Cơ Sở Dữ Liệu Quy Tắc (Rule Database):
Chữ Ký Tấn Công cung cấp các quy tắc xác định các mẫu tấn công đã biết, với mỗi quy tắc bao gồm các điều kiện và hành động liên quan đến việc phát hiện một loại tấn công cụ thể.
Tùy Chỉnh Quy Tắc: Người dùng có thể thêm, sửa đổi hoặc xóa các quy tắc tùy thuộc vào yêu cầu bảo mật của họ.
Cấu trúc quy tắc Snort
Giao Diện Người Dùng và Hệ Thống Báo Cáo (User Interface and Reporting System):
Giao Diện Điều Khiển: Cho phép người dùng cấu hình và quản lý Snort, kiểm tra các log và sự kiện.
Snort hiển thị trên giao diện CLI
Báo Cáo: Cung cấp thông tin chi tiết về các sự cố phát hiện được và các hành động cần thiết.
Snort thu thập lưu lượng mạng từ các giao diện mạng và chuyển đổi dữ liệu gói tin thành các dạng có thể phân tích.
Tiền Xử Lý Dữ Liệu:
Dữ liệu gói tin được xử lý và chuẩn bị cho việc kiểm tra quy tắc, bao gồm việc tách biệt các thông tin quan trọng như địa chỉ IP, cổng và nội dung của gói tin.
Phân Tích và Phát Hiện:
Snort thực hiện kiểm tra từng gói tin bằng cách so sánh chúng với cơ sở dữ liệu quy tắc nhằm xác định xem gói tin đó có phù hợp với bất kỳ quy tắc nào hay không.
Snort là một công cụ mạnh mẽ giúp nhận diện tấn công bằng cách phân tích các gói tin Khi một gói tin khớp với quy tắc đã được thiết lập, Snort sẽ xác định đây là một hành vi đáng ngờ hoặc tấn công và thực hiện các biện pháp xử lý theo cấu hình đã định.
Khi gói tin khớp với quy tắc, hiển thị ra thông báo (msg) trong cấu trúc quy tắc Snort đã được định nghĩa từ trước
Ghi Lại và Xử Lý:
Ghi Lại Sự Kiện: Snort ghi lại các sự kiện phát hiện được và lưu vào các tệp log hoặc cơ sở dữ liệu.
Gửi Cảnh Báo: Tạo và gửi cảnh báo tới người quản trị hệ thống hoặc hệ thống quản lý sự kiện bảo mật (SIEM).
Phản Hồi (Trong Chế Độ IPS):
Snort có khả năng hoạt động trong chế độ ngăn chặn, cho phép nó thực hiện các hành động như chặn địa chỉ IP hoặc từ chối kết nối Điều này giúp ngăn chặn hiệu quả các mối đe dọa tiềm ẩn.
2.4.1.4 Cấu Hình và Quản Lý Snort
Tệp Cấu Hình (snort.conf): Cấu hình các tham số cơ bản như giao diện mạng, đường dẫn đến các quy tắc, và các tùy chọn ghi log.
Quản lí quy tắc: Tạo và cấu hình các quy tắc chữ ký tấn công trong các tệp quy tắc (rules files).
Để đảm bảo an toàn mạng, hãy thường xuyên tải và cập nhật các quy tắc từ các nguồn cung cấp quy tắc chữ ký, chẳng hạn như Emerging Threats và các nguồn quy tắc cộng đồng khác.
Tùy Chỉnh Quy Tắc: Viết hoặc chỉnh sửa các quy tắc để phù hợp với nhu cầu bảo mật cụ thể của tổ chức.
Snort có khả năng tích hợp với hệ thống quản lý sự kiện bảo mật (SIEM), giúp cung cấp cái nhìn tổng quan về các mối đe dọa và sự kiện bảo mật, từ đó nâng cao khả năng phát hiện và ứng phó với các nguy cơ an ninh mạng.
Phân tích và đánh giá các log cùng với cảnh báo là bước quan trọng để xác định hiệu quả của các quy tắc và cấu hình Snort Việc này giúp điều chỉnh các thiết lập bảo mật theo nhu cầu cụ thể, nâng cao khả năng phòng ngừa và phát hiện các mối đe dọa.
MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN
Tấn công từ chối dịch vụ (Denial of Service - DoS)
Tấn công từ chối dịch vụ (DoS) là hình thức làm cho dịch vụ hoặc hệ thống không thể truy cập được bằng cách quá tải tài nguyên của nó Phương pháp này thường dẫn đến việc ngừng hoạt động dịch vụ khi các nguồn tấn công được sử dụng một cách quá mức.
Mô hình tấn công DOS
Tạo tải trọng là hành động gửi một lượng lớn yêu cầu đến máy chủ hoặc dịch vụ mục tiêu, dẫn đến việc máy chủ không thể xử lý các yêu cầu hợp lệ từ người dùng thực sự.
Tấn công bằng băng thông: Làm ngợp băng thông của hệ thống hoặc mạng, khiến các yêu cầu hợp lệ không thể đi qua.
Ví dụ: Gửi hàng triệu yêu cầu HTTP giả mạo tới một trang web để làm ngừng hoạt động trang web đó.
Tấn công phân tán từ chối dịch vụ (Distributed Denial of Service - DDoS)
Làm cho dịch vụ hoặc hệ thống không thể hoạt động, nhưng khác với DoS, DDoS sử dụng nhiều nguồn tấn công.
Mô hình tấn công DDOS
Tấn công phân phối: Sử dụng nhiều máy tính bị kiểm soát từ xa (botnet) để đồng thời gửi lưu lượng truy cập tới dịch vụ mục tiêu.
Tăng cường hiệu ứng: Nhiều nguồn tấn công làm tăng mức độ và quy mô của cuộc tấn công, khiến việc phòng chống trở nên khó khăn hơn.
Ví dụ: Tấn công bằng cách sử dụng hàng triệu thiết bị IoT bị nhiễm mã độc để gửi yêu cầu tới máy chủ mục tiêu.
Tấn công khai thác lỗ hổng (Exploit Attacks)
Khai thác các lỗ hổng trong phần mềm hoặc hệ thống để thực hiện các hành động trái phép.
Khai thác lỗ hổng bảo mật là hành động tìm kiếm và sử dụng các điểm yếu trong phần mềm, hệ điều hành hoặc ứng dụng để thực hiện mã độc, truy cập trái phép, hoặc đánh cắp dữ liệu nhạy cảm.
Chạy mã độc: Có thể thực hiện các hành động như chạy mã từ xa, lấy quyền quản trị, hoặc cài đặt phần mềm độc hại.
Lỗ hổng trong trình duyệt web có thể bị khai thác để thực thi mã độc trên máy tính của người dùng khi họ truy cập vào các trang web bị tấn công.
Tấn công bởi phần mềm độc hại (Malware Attacks)
Cài đặt phần mềm độc hại vào hệ thống để gây hại hoặc lấy cắp thông tin.
Virus: Phần mềm độc hại lây lan bằng cách gắn vào các tệp tin hợp lệ.
Worm: Phần mềm độc hại tự sao chép và phát tán qua mạng mà không cần tệp tin chủ.
Trojan: Phần mềm độc hại ẩn trong phần mềm hợp lệ và thực hiện các hành động độc hại khi được kích hoạt.
Ransomware: Mã độc mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã.
Ví dụ: Một email lừa đảo chứa tệp đính kèm độc hại mà khi mở ra, nó cài đặt ransomware trên máy tính.
Tấn công mạng (Network Attacks)
Tấn công nhằm vào mạng lưới máy tính để gây gián đoạn hoặc thu thập dữ liệu.
Mô hình Man in the Middle
Man-in-the-Middle (MitM): Nghe lén và/hoặc thay đổi dữ liệu giữa hai bên giao tiếp mà không để họ biết.
Sniffing: Sử dụng công cụ để theo dõi và thu thập gói dữ liệu trên mạng.
Spoofing: Giả mạo địa chỉ IP hoặc MAC để đánh lừa hệ thống hoặc người dùng.
Ví dụ: Tấn công MitM trong đó kẻ tấn công chèn vào giữa một cuộc trò chuyện HTTPS để theo dõi hoặc chỉnh sửa thông tin truyền đi.
Tấn công dựa trên ứng dụng (Application Layer Attacks)
Nhắm vào lớp ứng dụng của hệ thống để khai thác lỗ hổng trong phần mềm hoặc dịch vụ.
Mô phỏng tấn công SQL Injection
SQL Injection: Chèn mã SQL độc hại vào các trường nhập liệu của ứng dụng để thao túng cơ sở dữ liệu.
Cross-Site Scripting (XSS): Chèn mã JavaScript độc hại vào trang web để thực hiện các hành động không mong muốn trên trình duyệt của người dùng.
Cross-Site Request Forgery (CSRF): Lừa người dùng thực hiện hành động không mong muốn trên một ứng dụng web mà họ đã đăng nhập.
Ví dụ: Kẻ tấn công sử dụng SQL injection để truy cập dữ liệu người dùng từ cơ sở dữ liệu của một trang web.
Tấn công tấn công xã hội (Social Engineering Attacks)
Lừa dối người dùng để thu thập thông tin nhạy cảm hoặc thực hiện hành vi xâm phạm.
Các kỹ thuật tấn công xã hội phổ biến
Phishing: Gửi email hoặc tin nhắn giả mạo nhằm đánh lừa người dùng cung cấp thông tin nhạy cảm như mật khẩu hoặc số thẻ tín dụng.
Pretexting: Tạo một lý do giả mạo để thu thập thông tin từ mục tiêu, như giả làm nhân viên hỗ trợ kỹ thuật.
Baiting: Cung cấp một phần thưởng giả để dụ người dùng tải xuống hoặc cài đặt phần mềm độc hại.
Ví dụ: Một email giả mạo từ ngân hàng yêu cầu người dùng cung cấp thông tin tài khoản để "xác minh" vấn đề.
Tấn công từ bên trong (Insider Threats)
Nguy cơ từ bên trong tổ chức, bao gồm nhân viên, đối tác, hoặc nhà thầu, gây ra hành vi phá hoại hoặc đánh cắp thông tin.
Hành vi cố ý có thể xảy ra khi nhân viên hoặc đối tác cố tình gây tổn hại hoặc rò rỉ thông tin nhạy cảm Ngược lại, hành vi vô tình thường xuất phát từ người dùng do thiếu hiểu biết hoặc mắc lỗi trong quá trình thao tác, dẫn đến sự cố bảo mật.
Ví dụ: Một nhân viên rời công ty và mang theo dữ liệu quan trọng hoặc cố tình làm hỏng hệ thống.
CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP MẠNG
Signature-Based Detection (Phát hiện dựa trên chữ ký)
Phương pháp phát hiện dựa trên chữ ký (Signature-Based Detection) là kỹ thuật an ninh mạng, cho phép nhận diện các mối đe dọa bằng cách so sánh các đặc trưng hoặc "chữ ký" của mã độc với cơ sở dữ liệu chữ ký đã được xác định trước.
4.1.1 Nguyên tắc hoạt động của Signature-Based Detection
Sơ đồ hoạt động của Signature-Based Detection
Cơ sở dữ liệu chữ ký (Signature Database) là tập hợp các mẫu chữ ký của phần mềm độc hại đã được xác định và phân loại, bao gồm đoạn mã độc, mẫu băm (hash) và các chuỗi đặc trưng trong mã nguồn của malware.
Phần mềm bảo mật quét hệ thống hoặc tập tin để phát hiện các mẫu mã độc có thể tồn tại trên máy tính.
Khi thực hiện quét, phần mềm bảo mật sẽ so sánh các tệp và thành phần hệ thống với cơ sở dữ liệu chữ ký Nếu phát hiện một mẫu chữ ký trùng khớp, phần mềm sẽ xác định tệp đó có khả năng là phần mềm độc hại.
Khi phát hiện mối đe dọa, phần mềm bảo mật sẽ ngay lập tức gửi cảnh báo đến người dùng hoặc tự động thực hiện các biện pháp xử lý như cách ly hoặc xóa tệp độc hại.
4.1.2 Ưu điểm của Signature-Based Detection
Phương pháp này rất hiệu quả trong việc phát hiện các mối đe dọa đã biết, đặc biệt là các phần mềm độc hại có chữ ký trong cơ sở dữ liệu.
Dễ Implement và Quản lý: Việc thiết lập và duy trì cơ sở dữ liệu chữ ký tương đối đơn giản và không đòi hỏi quá nhiều tài nguyên.
Kết quả Nhanh chóng: Quá trình quét và phát hiện diễn ra nhanh chóng vì chỉ cần so sánh với các chữ ký đã biết.
4.1.3 Nhược điểm của Signature-Based Detection
Phương pháp này không có khả năng phát hiện các mối đe dọa mới hoặc chưa được biết đến, do chúng chưa được ghi nhận trong cơ sở dữ liệu chữ ký.
Để đảm bảo hiệu quả tối ưu, việc cập nhật thường xuyên cơ sở dữ liệu chữ ký với các chữ ký mới là rất cần thiết Nếu không thực hiện điều này, các mối đe dọa mới có thể bị bỏ sót và không được phát hiện kịp thời.
Một số mã độc có thể áp dụng các kỹ thuật nén hoặc mã hóa để né tránh việc bị phát hiện bởi chữ ký Phát hiện dựa trên chữ ký là một phương pháp quan trọng trong việc nhận diện mã độc.
Phần mềm diệt virus là ứng dụng phổ biến nhất trong việc bảo vệ máy tính, sử dụng chữ ký để phát hiện và loại bỏ các phần mềm độc hại đã biết.
Hệ thống phát hiện xâm nhập (IDS): Một số hệ thống IDS cũng sử dụng phương pháp này để phát hiện các tấn công đã được biết đến.
Giám sát hệ thống là một phương pháp quan trọng trong các tổ chức, cho phép các công cụ bảo mật theo dõi hiệu suất và tình trạng của máy chủ cũng như thiết bị đầu cuối.
Antivirus software like Norton and McAfee employs Signature-Based Detection to identify and eliminate malware by referencing a database of known signatures.
Microsoft Defender: Hệ thống bảo mật tích hợp trong Windows, sử dụng phương pháp này để phát hiện và bảo vệ hệ thống khỏi các mã độc đã biết.
Signature-Based Detection là phương pháp hiệu quả trong việc phát hiện các mối đe dọa đã biết, nhưng gặp khó khăn trong việc nhận diện các mối đe dọa mới hoặc chưa được biết đến Để đảm bảo an ninh toàn diện, phương pháp này thường được kết hợp với các kỹ thuật phát hiện khác như Heuristic-Based Detection và Behavioral-Based Detection.
Anomaly-Based Detection (Phát hiện bất thường)
Phát hiện dựa trên bất thường (Anomaly-Based Detection) là phương pháp phát hiện mối đe dọa trong hệ thống máy tính bằng cách so sánh hoạt động hiện tại với các mẫu hành vi bình thường đã được thiết lập Khi một hành vi nào đó khác biệt đáng kể so với hành vi bình thường, hệ thống sẽ xác định đó là một sự cố tiềm ẩn mối đe dọa.
4.2.1 Nguyên tắc hoạt động của Anomaly-Based Detection
Sơ đồ hoạt động của Anomaly-Based Detection
Để thiết lập Cơ sở dữ liệu Hành vi Bình thường, hệ thống cần xây dựng một mô hình về hành vi điển hình của người dùng, ứng dụng hoặc hệ thống Quá trình này thường bao gồm việc thu thập và phân tích dữ liệu trong một khoảng thời gian nhất định nhằm xác định các mẫu hành vi tiêu biểu.
Sau khi thiết lập cơ sở dữ liệu hành vi bình thường, hệ thống sẽ tiếp tục theo dõi và ghi lại các hành vi của người dùng, ứng dụng và hệ thống trong thời gian thực.
Khi một hành vi mới xuất hiện, hệ thống sẽ so sánh hành vi đó với mẫu hành vi bình thường đã được thiết lập Các thuật toán phân tích sẽ đánh giá mức độ khác biệt giữa hành vi mới và mẫu hành vi bình thường.
Hệ thống sẽ nhận diện hành vi bất thường khi có sự khác biệt lớn so với hành vi bình thường và gửi cảnh báo đến người quản trị Đồng thời, nó có thể thực hiện các hành động tự động để điều tra hoặc xử lý tình huống.
4.2.2 Ưu điểm của Anomaly-Based Detection
Phát hiện các mối đe dọa mới và chưa biết là một phương pháp hiệu quả, vì nó dựa trên hành vi thay vì chỉ dựa vào chữ ký cụ thể Phương pháp này giúp nhận diện những mối nguy hiểm tiềm tàng mà chưa được biết đến, từ đó nâng cao khả năng bảo mật cho hệ thống.
Khả năng phát hiện các tấn công ẩn là rất quan trọng, vì nó cho phép nhận diện các loại tấn công chưa được biết đến hoặc mã độc có khả năng thay đổi hình thức để lẩn tránh các phương pháp phát hiện dựa trên chữ ký.
Khám phá các lỗ hổng và sai sót có thể giúp phát hiện các lỗ hổng bảo mật hoặc sai sót hệ thống thông qua việc nhận diện các hành vi bất thường Tuy nhiên, phương pháp phát hiện dựa trên sự bất thường cũng có những nhược điểm cần lưu ý.
Hệ thống có thể gặp phải tỷ lệ cảnh báo sai cao do phụ thuộc vào mô hình hành vi bình thường, dẫn đến việc đưa ra cảnh báo sai (false positives) khi hành vi của người dùng hoặc ứng dụng thay đổi đáng kể nhưng không phải là mối đe dọa thực sự.
Để xây dựng mô hình hành vi bình thường chính xác, việc thu thập thông tin đầu vào đầy đủ và chính xác là rất quan trọng Quá trình này có thể đòi hỏi nhiều thời gian và công sức.
Hệ thống yêu cầu thời gian để học hỏi và điều chỉnh, nhằm nhận diện các hành vi bình thường Trong giai đoạn này, khả năng phát hiện các mối đe dọa có thể không chính xác.
4.2.4 Ứng dụng của Anomaly-Based Detection
Hệ thống Phát hiện xâm nhập (IDS) là công cụ quan trọng trong việc bảo vệ mạng, với một số hệ thống áp dụng phương pháp phát hiện dựa trên bất thường để phát hiện các tấn công mạng chưa được xác định trước.
Giám sát An ninh Mạng là phương pháp quan trọng được áp dụng trong các tổ chức lớn để theo dõi các mạng lưới máy tính quy mô lớn, giúp phát hiện kịp thời các hoạt động bất thường có thể chỉ ra sự tồn tại của các cuộc tấn công mạng.
Bảo mật hệ thống và ứng dụng đóng vai trò quan trọng trong việc phát hiện các hoạt động bất thường, giúp nhận diện sự xâm nhập hoặc lỗ hổng bảo mật.
Hệ thống IDS như Snort có khả năng cấu hình để sử dụng các mô-đun phát hiện bất thường, cho phép phát hiện các mẫu hành vi không điển hình một cách hiệu quả.
Heuristic-Based Detection (Phát hiện dựa trên heuristic)
Phát hiện dựa trên quy tắc (Heuristic-Based Detection) là phương pháp hiệu quả để nhận diện các mối đe dọa và mã độc trong hệ thống Phương pháp này sử dụng các quy tắc và kỹ thuật phân tích nhằm phát hiện các mẫu hành vi đáng ngờ hoặc đặc điểm của phần mềm độc hại Thay vì chỉ dựa vào các chữ ký cụ thể, phát hiện dựa trên quy tắc tập trung vào các đặc điểm và hành vi của mã độc để nâng cao khả năng phát hiện.
4.3.1 Nguyên tắc hoạt động của Heuristic-Based Detection
Sơ đồ phát hiện 1 malware bằng heuristic
Xây dựng quy tắc và đặc điểm cho mã độc dựa trên các quy tắc heuristic là một phương pháp hiệu quả Những quy tắc này được hình thành từ các đặc điểm và hành vi của mã độc đã biết, bao gồm các mẫu hành vi, cấu trúc mã, cũng như các kỹ thuật phổ biến mà mã độc thường áp dụng, như tàng hình, lây lan và truy cập trái phép.
Hệ thống sẽ phân tích và đánh giá tệp hoặc hành vi dựa trên các quy tắc heuristic, tìm kiếm các mẫu mã hoặc hành vi nghi ngờ mà không cần so sánh với cơ sở dữ liệu chữ ký cụ thể.
Hệ thống sẽ phát hiện mối đe dọa tiềm tàng nếu hành vi hoặc đặc điểm của tệp hoặc ứng dụng phù hợp với các quy tắc heuristic Khi đó, nó sẽ gửi cảnh báo hoặc thực hiện các hành động tự động như cách ly hoặc xóa tệp để xử lý tình huống.
4.3.2 Ưu điểm của Heuristic-Based Detection
Phát hiện mối đe dọa mới và chưa biết đến là khả năng quan trọng trong việc bảo vệ hệ thống khỏi các phần mềm độc hại Phương pháp này tập trung vào việc phân tích hành vi và đặc điểm của phần mềm, thay vì chỉ dựa vào chữ ký cụ thể Điều này giúp phát hiện và ngăn chặn các mối đe dọa tiềm ẩn mà chưa được nhận diện trước đó.
Phát hiện các kỹ thuật tấn công mới là khả năng nhận diện các phương thức tấn công hoặc mã độc chưa từng được ghi nhận trong cơ sở dữ liệu Điều này giúp nâng cao khả năng bảo mật và phòng ngừa các mối đe dọa tiềm ẩn.
Tăng cường khả năng bảo vệ hệ thống bằng cách cung cấp một lớp bảo vệ bổ sung ngoài các phương pháp phát hiện dựa trên chữ ký, giúp cải thiện đáng kể hiệu quả bảo mật tổng thể.
4.3.3 Nhược điểm của Heuristic-Based Detection
Tỷ lệ cảnh báo sai cao có thể dẫn đến việc tạo ra nhiều cảnh báo sai (false positives), do hành vi bình thường có thể bị nhầm lẫn với hành vi của mã độc theo các quy tắc heuristic.
Cần thường xuyên cập nhật và điều chỉnh các quy tắc heuristic để phản ánh những kỹ thuật tấn công mới và đặc điểm của mã độc hiện nay.
Việc xây dựng và duy trì các quy tắc heuristic trong an ninh mạng là một quá trình phức tạp, đòi hỏi kiến thức chuyên sâu về các phương pháp tấn công và mã độc.
4.3.4 Ứng dụng của Heuristic-Based Detection
Phần mềm diệt virus sử dụng công nghệ heuristic để phát hiện các mã độc chưa được biết đến hoặc các biến thể của mã độc đã biết, giúp bảo vệ hệ thống an toàn hơn.
Hệ thống Phát hiện xâm nhập (IDS): Trong các hệ thống IDS, heuristic được sử dụng để phát hiện các hành vi bất thường hoặc tấn công mới.
Giám sát An ninh Mạng: Được sử dụng để phát hiện các hoạt động mạng không bình thường có thể chỉ ra sự xâm nhập hoặc tấn công.
Phần mềm Diệt Virus như Kaspersky, Bitdefender: Những phần mềm diệt
Hệ thống IDS như Suricata: Suricata có thể sử dụng các quy tắc heuristic để phát hiện các tấn công mạng và các hành vi bất thường.
Hệ thống An ninh Mạng như Cylance: Cylance sử dụng công nghệ heuristic để phân tích và phát hiện các mối đe dọa mạng chưa được biết đến.
Heuristic-Based Detection là một phương pháp phát hiện bảo mật hiệu quả, giúp nhận diện các mối đe dọa mới hoặc chưa được biết đến thông qua việc phân tích hành vi và đặc điểm của phần mềm Mặc dù có thể gặp tỷ lệ cảnh báo sai cao và cần cập nhật quy tắc thường xuyên, phương pháp này vẫn đóng vai trò quan trọng trong việc bảo vệ, bổ sung cho các phương pháp phát hiện dựa trên chữ ký và bất thường.
Behavior-Based Detection (Phát hiện dựa trên hành vi)
Phát hiện dựa trên hành vi (Behavior-Based Detection) là một phương pháp hiệu quả trong việc phát hiện mối đe dọa bằng cách theo dõi và phân tích hành vi của ứng dụng hoặc hệ thống theo thời gian thực Thay vì chỉ dựa vào các chữ ký mã độc đã biết, phương pháp này chú trọng vào việc nhận diện các hành vi đáng ngờ hoặc bất thường, từ đó có thể chỉ ra sự hiện diện của phần mềm độc hại hoặc các cuộc tấn công tiềm ẩn.
4.4.1 Nguyên tắc hoạt động của Behavior-Based Detection
Sơ đồ phát hiện 1 malware bằng phương pháp dựa trên hành vi ( Behavior )
Hệ thống theo dõi hành vi ghi lại các hoạt động và hành vi của ứng dụng, người dùng và hệ thống Nó bao gồm việc theo dõi truy cập tệp, thay đổi cấu hình hệ thống, hoạt động mạng, và các tương tác với dịch vụ hệ thống.
Phân tích hành vi là quá trình theo dõi và đánh giá các hành vi nhằm phát hiện dấu hiệu hoặc mẫu hành vi đáng ngờ Những hành vi này có thể bao gồm việc truy cập trái phép vào dữ liệu nhạy cảm, thực hiện các thay đổi cấu hình hệ thống bất thường, hoặc gửi đi các yêu cầu mạng không bình thường.
Hệ thống sẽ nhận diện các hành vi của ứng dụng hoặc hệ thống phù hợp với mẫu hành vi đáng ngờ hoặc nguy hiểm, từ đó gửi cảnh báo đến người quản trị hoặc thực hiện các hành động tự động để xử lý sự cố.
Sau khi phát hiện hành vi đáng ngờ, hệ thống sẽ tiến hành các biện pháp phản hồi và xử lý như cách ly ứng dụng, chặn hoạt động, hoặc thực hiện các hành động cần thiết để bảo vệ an toàn thông tin.
4.4.2 Ưu điểm của Behavior-Based Detection
Phát hiện các mối đe dọa mới và chưa biết là một phương pháp hiệu quả trong việc nhận diện phần mềm độc hại và các cuộc tấn công chưa được phát hiện Phương pháp này tập trung vào việc phân tích hành vi thay vì dựa vào các chữ ký cụ thể, giúp nâng cao khả năng bảo mật và bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.
Phát hiện các hoạt động ẩn là khả năng nhận diện các kỹ thuật tấn công tinh vi, mà các phương pháp dựa trên chữ ký hoặc bất thường có thể không phát hiện được.
Dự đoán và ngăn chặn là khả năng phát hiện các mối đe dọa dựa trên hành vi, giúp ngăn chặn thiệt hại lớn trước khi xảy ra Phân tích các mẫu hành vi không bình thường đóng vai trò quan trọng trong việc này, cho phép nhận diện sớm các nguy cơ tiềm ẩn.
4.4.3 Nhược điểm của Behavior-Based Detection
Tỷ lệ cảnh báo sai cao có thể gây ra nhiều cảnh báo sai (false positives) khi hành vi của người dùng hoặc ứng dụng thay đổi một cách hợp lý, nhưng lại bị hệ thống phân tích đánh giá là đáng ngờ.
Việc theo dõi và phân tích hành vi liên tục đòi hỏi nguồn tài nguyên đầu vào đáng kể, điều này có thể ảnh hưởng đến hiệu suất của hệ thống.
Để đạt được hiệu quả tối ưu, hệ thống cần thời gian để học hỏi và điều chỉnh các mẫu hành vi bình thường cũng như đáng ngờ.
4.4.4 Ứng dụng của Behavior-Based Detection
Phần mềm diệt virus và bảo mật endpoint sử dụng phân tích hành vi để phát hiện các phần mềm độc hại mới và hoạt động đáng ngờ, giúp bảo vệ hệ thống an toàn và hiệu quả.
Hệ thống Phát hiện xâm nhập (IDS) sử dụng phương pháp phát hiện dựa trên hành vi để nhận diện các tấn công mạng và các hoạt động không bình thường.
Giám sát An ninh Mạng và Hệ thống là quá trình thiết yếu trong việc theo dõi các mạng lưới máy tính lớn, nhằm phát hiện những hành vi đáng ngờ có thể chỉ ra sự xâm nhập hoặc lỗ hổng bảo mật.
Phần mềm diệt virus như Windows Defender và ESET sử dụng công nghệ phân tích hành vi để phát hiện và ngăn chặn các mối đe dọa Những phần mềm này theo dõi hành vi của các ứng dụng và hệ thống, giúp bảo vệ thiết bị khỏi các nguy cơ tiềm ẩn.
Hybrid Detection (Phát hiện kết hợp)
Hybrid Detection là một phương pháp bảo mật kết hợp nhiều kỹ thuật phát hiện nhằm nâng cao khả năng phát hiện và bảo vệ hệ thống Phương pháp này tích hợp các kỹ thuật phát hiện dựa trên chữ ký, bất thường, hành vi và heuristic, tạo ra một hệ thống bảo mật toàn diện và hiệu quả hơn.
4.5.1 Nguyên tắc hoạt động của Hybrid Detection
Hệ thống Hybrid Intrusion Detection dựa trên tập hợp C5 ( học máy ) và One-Class SVM ( biến thể của
Kết hợp Các Kỹ thuật Phát hiện:
Phát hiện dựa trên chữ ký so sánh các tệp và hành vi với cơ sở dữ liệu chữ ký đã biết, nhằm phát hiện các phần mềm độc hại đã được xác định Phương pháp này giúp nhận diện các mối đe dọa bằng cách đối chiếu với các mẫu đã được ghi nhận, đảm bảo an toàn cho hệ thống.
Anomaly-Based Detection: Phân tích hành vi và mẫu hoạt động để phát hiện các bất thường so với hành vi bình thường đã được thiết lập.
Phát hiện dựa trên phương pháp heuristic sử dụng các quy tắc và kỹ thuật phân tích nhằm nhận diện các đặc điểm và hành vi nghi ngờ, có thể chỉ ra sự hiện diện của mã độc hoặc các cuộc tấn công mạng.
Behavior-Based Detection: Theo dõi và phân tích hành vi của ứng dụng và hệ thống để phát hiện các hoạt động không bình thường hoặc đáng ngờ.
Cùng các kỹ thuật phân tích đánh giá:
Hệ thống thu thập dữ liệu từ nhiều nguồn khác nhau như hoạt động hệ thống, mạng và các tệp, sau đó tổng hợp để phục vụ cho việc phân tích.
Tích hợp dữ liệu là quá trình quan trọng trong việc thu thập và phân tích thông tin, sử dụng các kỹ thuật phát hiện khác nhau Ví dụ, hành vi bất thường có thể được đối chiếu với các chữ ký mã độc đã biết và được phân tích thông qua các quy tắc heuristic để nâng cao khả năng phát hiện và bảo vệ hệ thống.
Hệ thống đánh giá mức độ nghi ngờ dựa trên các kỹ thuật kết hợp nhằm phân tích và đánh giá các hành vi cũng như đặc điểm được phát hiện.
Nhận diện và cảnh báo là quá trình quan trọng trong việc bảo vệ hệ thống Khi một mối đe dọa được phát hiện thông qua nhiều kỹ thuật khác nhau, hệ thống sẽ tự động gửi cảnh báo đến người quản trị Ngoài ra, nó cũng có thể thực hiện các hành động tự động như cách ly hoặc xóa tệp để xử lý sự cố một cách hiệu quả.
Sau khi phát hiện mối đe dọa, hệ thống sẽ thu thập thêm thông tin và điều chỉnh các quy tắc phát hiện, cũng như cập nhật cơ sở dữ liệu chữ ký, nhằm nâng cao khả năng phát hiện trong tương lai.
4.5.2 Ưu điểm của Hybrid Detection
Khả năng phát hiện toàn diện kết hợp nhiều phương pháp để nhận diện các mối đe dọa từ nhiều khía cạnh khác nhau Điều này bao gồm khả năng phát hiện mã độc mới, chưa biết và các kỹ thuật tấn công tinh vi, giúp nâng cao mức độ bảo mật hiệu quả hơn.
Giảm tỷ lệ cảnh báo sai là một mục tiêu quan trọng, và điều này có thể đạt được bằng cách áp dụng nhiều phương pháp phát hiện khác nhau Khi các mối đe dọa phải vượt qua nhiều lớp phân tích, khả năng tạo ra cảnh báo sai sẽ được giảm thiểu đáng kể.
Bảo vệ Đa lớp là một hệ thống bảo mật hiệu quả, kết hợp nhiều phương pháp khác nhau để tạo ra một lớp bảo vệ bổ sung Điều này giúp giảm thiểu khả năng mà các mối đe dọa có thể vượt qua các phương pháp phát hiện đơn lẻ, từ đó nâng cao độ an toàn cho hệ thống.
Phương pháp phát hiện tấn công kết hợp có khả năng nhận diện các kỹ thuật tấn công tinh vi mà các phương pháp đơn lẻ có thể bỏ sót, như mã độc sử dụng kỹ thuật tàng hình hoặc lừa đảo Tuy nhiên, phương pháp này cũng tồn tại một số nhược điểm cần được xem xét.
Việc triển khai và quản lý nhiều phương pháp phát hiện có thể gặp khó khăn do tính phức tạp của chúng, đòi hỏi các kỹ thuật viên bảo mật phải có kiến thức chuyên sâu để cấu hình và duy trì hệ thống hiệu quả.
Phương pháp kết hợp trong phân tích dữ liệu có thể tiêu tốn nhiều tài nguyên hệ thống hơn, vì nó yêu cầu thực hiện phân tích từ nhiều nguồn dữ liệu và kỹ thuật khác nhau.
Tốc độ phát hiện có thể bị ảnh hưởng bởi việc phân tích và tích hợp dữ liệu từ nhiều phương pháp khác nhau, do hệ thống cần thời gian để đánh giá toàn bộ thông tin và hành vi.
Protocol-Based Detection (Phát hiện dựa trên giao thức)
Phát hiện dựa trên giao thức (Protocol-Based Detection) là một phương pháp bảo mật hiệu quả, chuyên giám sát và phân tích các giao thức mạng nhằm phát hiện hành vi đáng ngờ hoặc vi phạm chính sách bảo mật Phương pháp này chú trọng vào việc kiểm tra các thông tin giao thức mạng như IP, TCP, UDP, HTTP và các giao thức ứng dụng khác để nhận diện các hoạt động bất thường hoặc các cuộc tấn công mạng.
4.6.1 Nguyên tắc hoạt động của Protocol-Based Detection
Hệ thống giám sát và ghi lại giao thức liên tục theo dõi lưu lượng mạng, thu thập thông tin về các giao thức mạng đang sử dụng Các thông tin này bao gồm địa chỉ IP, cổng, loại giao thức và các thuộc tính khác liên quan đến giao thức.
Phân tích giao thức là quá trình xem xét dữ liệu giao thức thu thập được để phát hiện các đặc điểm và hành vi bất thường Hệ thống sẽ kiểm tra các tiêu chuẩn giao thức nhằm xác định tính tuân thủ của chúng, đồng thời phát hiện bất kỳ sự cố nào có thể xảy ra.
vi phạm nào đối với quy tắc hoặc hành vi chuẩn.
Nhận diện và cảnh báo là quá trình quan trọng trong việc phát hiện hành vi bất thường hoặc vi phạm chính sách liên quan đến lưu lượng giao thức Hệ thống sẽ tự động đưa ra cảnh báo khi phát hiện lưu lượng mạng sử dụng các cổng không chuẩn hoặc giao thức không hợp lệ, giúp xác định mối đe dọa tiềm ẩn một cách kịp thời.
Sau khi phát hiện mối đe dọa, hệ thống có khả năng thực hiện các biện pháp như cách ly hoặc chặn lưu lượng, tiến hành điều tra thêm và thông báo cho người quản trị để xử lý sự cố hiệu quả.
4.6.2 Ưu điểm của Protocol-Based Detection
Phát hiện các tấn công mạng tinh vi là rất quan trọng, vì chúng thường khó nhận diện bằng các phương pháp truyền thống Những cuộc tấn công này có thể sử dụng giao thức không hợp lệ hoặc mã hóa không chuẩn, đòi hỏi các giải pháp phát hiện nâng cao để bảo vệ hệ thống mạng hiệu quả hơn.
Xác thực và kiểm tra chính sách là quá trình quan trọng giúp đảm bảo rằng các giao thức mạng và lưu lượng dữ liệu tuân thủ các chính sách bảo mật cũng như tiêu chuẩn của tổ chức Quá trình này không chỉ phát hiện các vi phạm mà còn giúp phát hiện kịp thời các sự cố, từ đó nâng cao mức độ an toàn và bảo mật cho hệ thống.
Cấu hình và quản lý dễ dàng: Các quy tắc và chính sách có thể được thiết lập dựa trên các giao thức mạng cụ thể, đồng thời việc quản lý và cập nhật cũng trở nên thuận tiện khi cần thiết Tuy nhiên, phương pháp phát hiện dựa trên giao thức cũng tồn tại một số nhược điểm.
Phát hiện các cuộc tấn công không sử dụng giao thức mạng truyền thống có thể gặp nhiều khó khăn, đặc biệt khi các mối đe dọa hoặc kỹ thuật tấn công không liên quan đến giao thức mạng.
Cảnh báo sai (False Positives) có thể xảy ra khi các giao thức mạng hoặc cấu hình được điều chỉnh để đáp ứng các yêu cầu cụ thể, điều này làm cho việc phân tích và nhận diện hành vi đáng ngờ trở nên khó khăn hơn.
Phân tích lưu lượng mạng và các giao thức có thể tiêu tốn tài nguyên hệ thống, ảnh hưởng đến hiệu suất mạng, đặc biệt trong môi trường có lưu lượng cao Việc hiểu rõ tác động của các yếu tố này là cần thiết để tối ưu hóa hiệu suất và quản lý tài nguyên hiệu quả.
4.6.4 Ứng dụng của Protocol-Based Detection
Hệ thống Phát hiện xâm nhập (IDS) và Hệ thống Ngăn chặn xâm nhập (IPS) đóng vai trò quan trọng trong việc bảo vệ mạng bằng cách giám sát và phân tích lưu lượng mạng Các hệ thống này sử dụng phương pháp phát hiện dựa trên giao thức để nhanh chóng phát hiện các tấn công mạng và hành vi không hợp lệ, từ đó giúp tăng cường an ninh cho hệ thống.
Giải pháp bảo mật mạng đóng vai trò quan trọng trong việc bảo vệ các hệ thống mạng khỏi các mối đe dọa Chúng hoạt động bằng cách kiểm tra và phân tích các giao thức mạng, giúp phát hiện và ngăn chặn các tấn công tiềm ẩn.
Hệ thống Giám sát và Phân tích Mạng đóng vai trò quan trọng trong việc đảm bảo các giao thức mạng hoạt động hiệu quả Phương pháp này không chỉ giúp phát hiện các hành vi không bình thường mà còn xác định các vi phạm chính sách, từ đó nâng cao tính an toàn và ổn định của mạng lưới.
Hệ thống IDS như Snort sử dụng các quy tắc phân tích giao thức để phát hiện các tấn công mạng hiệu quả Snort có khả năng nhận diện các yêu cầu HTTP không hợp lệ và các cổng không chuẩn, giúp bảo vệ hệ thống khỏi những mối đe dọa tiềm ẩn.
Statistical-Based Detection (Phát hiện dựa trên thống kê)
Phát hiện dựa trên thống kê là một phương pháp hiệu quả trong việc phát hiện mối đe dọa thông qua việc phân tích dữ liệu và hành vi của hệ thống Phương pháp này áp dụng các kỹ thuật phân tích số liệu để nhận diện các mẫu hành vi bất thường trong dữ liệu, từ đó giúp phát hiện sự hiện diện của phần mềm độc hại hoặc các cuộc tấn công.
4.7.1 Nguyên tắc hoạt động của Statistical-Based Detection
Dữ liệu liên quan đến hoạt động của hệ thống, mạng và ứng dụng được thu thập liên tục, bao gồm thông tin về lưu lượng mạng, hoạt động của người dùng và các sự kiện hệ thống.
Mô hình cơ bản được xây dựng từ dữ liệu thu thập nhằm xác định hành vi và hoạt động bình thường trong hệ thống Mô hình này áp dụng các phương pháp thống kê như phân tích hồi quy, phân tích phân phối và kỹ thuật học máy để thiết lập tiêu chuẩn hành vi bình thường.
Phân tích dữ liệu và so sánh là quá trình quan trọng nhằm xác định các hành vi hoặc hoạt động bất thường bằng cách so sánh dữ liệu mới với mô hình cơ bản Để phát hiện các điểm dữ liệu không phù hợp với mô hình bình thường, các phương pháp thống kê như phân tích biến động, phân phối xác suất và phân tích hồi quy được áp dụng.
Nhận diện và cảnh báo là quá trình quan trọng trong việc phát hiện các hành vi hoặc dữ liệu bất thường Khi hành vi hoặc dữ liệu mới không phù hợp với mô hình cơ bản hoặc vượt quá các ngưỡng thống kê đã được xác định, hệ thống sẽ tự động gửi cảnh báo về các mối đe dọa hoặc hành vi đáng ngờ.
Phản hồi và điều chỉnh là bước quan trọng trong quá trình phát hiện sự cố, nơi hệ thống có thể thực hiện các biện pháp như cách ly hệ thống, thông báo cho quản trị viên, hoặc thực hiện các hành động bảo vệ khác Việc điều chỉnh mô hình thống kê dựa trên các phát hiện mới giúp nâng cao độ chính xác của quá trình phát hiện trong tương lai.
Phát hiện Mối đe dọa Mới: Có khả năng phát hiện các mối đe dọa mới và các
Nhận diện các bất thường phức tạp là quá trình phát hiện những mẫu hành vi hoặc biến động không rõ ràng thông qua việc phân tích dữ liệu thống kê và các mô hình phân phối.
Khả năng Tự Học và Tinh chỉnh:
Một số hệ thống thống kê hiện đại có khả năng tự học và điều chỉnh các mô hình cơ bản theo thời gian, dựa trên dữ liệu mới và hành vi của chính hệ thống.
4.7.3 Nhược điểm của Statistical-Based Detection
Tỷ lệ cảnh báo sai có thể gia tăng do mô hình cơ bản không chính xác hoặc sự biến động tự nhiên trong dữ liệu mà hệ thống không nhận diện được.
Phân tích dữ liệu và xây dựng các mô hình thống kê có thể tiêu tốn nhiều tài nguyên hệ thống, dẫn đến ảnh hưởng tiêu cực đến hiệu suất.
Việc xây dựng và điều chỉnh các mô hình thống kê đòi hỏi thời gian đáng kể, đồng thời cần thường xuyên cập nhật để đảm bảo tính hiệu quả và chính xác của mô hình.
4.7.4 Ứng dụng của Statistical-Based Detection
Hệ thống Phát hiện xâm nhập (IDS) áp dụng các phương pháp thống kê nhằm phát hiện các hoạt động mạng và hệ thống bất thường, từ đó nhận diện các cuộc tấn công hoặc lỗ hổng bảo mật hiệu quả.
Phần mềm bảo mật endpoint, bao gồm các phần mềm diệt virus, sử dụng phân tích thống kê để phát hiện phần mềm độc hại và hành vi đáng ngờ, giúp bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.
Giám sát mạng và hệ thống là công cụ quan trọng trong việc phân tích lưu lượng mạng và hoạt động của hệ thống, giúp phát hiện các bất thường và vấn đề tiềm ẩn.
Hệ thống IDS như SolarWinds NPM sử dụng phân tích thống kê để theo dõi lưu lượng mạng, phát hiện các bất thường và giám sát hoạt động hệ thống hiệu quả.
THỰC NGHIỆM : PHÁT HIỆN CÁC HOẠT ĐỘNG
Triển khai mô hình thực nghiệm sử dụng Snort
Mô hình này được thiết kế nhằm thử nghiệm và đánh giá hiệu quả của công cụ Snort thông qua hai phương pháp phát hiện chính: phát hiện dựa trên chữ ký và phát hiện dựa trên sự bất thường Cả hai kỹ thuật này đều nổi bật về tính hiệu quả và dễ triển khai.
Được xây dựng để thực hiện các cuộc tấn công mô phỏng vào server
Máy Ubuntu Linux được cài đặt Snort và được cấu hình các rules phù hợp để phát hiện các cuộc tấn công gây ra bởi Attacker Machine
Khi phát hiện mẫu tấn công, IDPS có thể được cấu hình để thực hiện hành động
“alert” (phát hiện) và “drop” (ngăn chặn)
Các kịch bản tấn công
5.2.1 Tấn công dò quét (Scanning Attacks)
Tấn công dò quét bằng câu lệnh ping, hay còn gọi là "Ping Sweep," là một kỹ thuật mà kẻ tấn công sử dụng để xác định các máy chủ hoạt động trên mạng Kỹ thuật này thực hiện bằng cách gửi các gói tin ICMP Echo Request đến một dải địa chỉ IP cụ thể Khi các máy chủ trong dải này phản hồi bằng gói tin ICMP Echo Reply, kẻ tấn công có thể xác định những máy nào đang hoạt động và thu thập thông tin về cấu trúc mạng cùng các dịch vụ đang chạy Mặc dù có vẻ đơn giản, nhưng tấn công này có thể cung cấp thông tin quan trọng cho kẻ tấn công nhằm thực hiện các bước tấn công tiếp theo.
Kẻ tấn công thực hiện việc dò quét bằng cách gửi lệnh ping đến máy nạn nhân Snort, được cấu hình trên máy nạn nhân theo bộ luật đã định sẵn, sẽ phát hiện và ngăn chặn cuộc tấn công này.
Cấu hình bộ quy tắc
File local.rules là một tệp tin tự động được Snort tạo ra trong quá trình cài đặt Tệp rules này cho phép người dùng tùy chỉnh và cấu hình các quy tắc cụ thể theo nhu cầu và mối quan tâm của họ.
File local.rules nằm tại đường dẫn /etc/snort/rules
Tệp snort.conf là cấu hình chính của công cụ Snort, xác định các bộ quy tắc cần thiết cho việc phát hiện và ngăn chặn Để sử dụng các quy tắc đã thiết lập, cần thêm tệp local.rules vào snort.conf, đảm bảo rằng các quy tắc cụ thể cho từng trang web sẽ được áp dụng.
File local.rules được thêm vào snort.conf bằng câu lệnh include
Để phát hiện các hành động ping dò quét, chúng ta áp dụng câu lệnh rule theo cấu trúc quy tắc đã đề cập trước đó: alert icmp any any -> any any (msg:"PING has been detected"; sid:10000000000001; rev: 1;).
1 Alert: Thông báo khi một sự kiện xảy ra.
2 Icmp: Loại giao thức mà quy tắc này áp dụng, ở đây là ICMP (Internet Control Message Protocol).
3 any any -> any any: Quy tắc này sẽ áp dụng cho tất cả các địa chỉ IP và cổng, tức là bất kỳ gói ICMP nào từ bất kỳ nguồn nào đến bất kỳ đích nào.
4 (msg:" Cau lenh PING bi phat hien"; Ghi lại thông điệp "Cau lenh PING bi phat hien" khi sự kiện xảy ra.
5 sid:10000000001; ID của quy tắc, dùng để xác định quy tắc trong cơ sở dữ liệu của Snort.
6 rev:1; Phiên bản của quy tắc, giúp theo dõi các cập nhật hoặc thay đổi.
Câu lệnh rule được thêm vào
Thực hiện câu lệnh khởi động snort: sudo snort -c /etc/snort/rules/local.rules -i ens33 -A console
1 sudo: Thực thi lệnh với quyền quản trị (superuser) Điều này cần thiết vì Snort thường cần quyền truy cập cao hơn để theo dõi lưu lượng mạng.
2 snort: Đây là tên chương trình Snort.
Tham số -c trong lệnh Snort chỉ định file cấu hình hoặc file quy tắc mà Snort sẽ áp dụng Cụ thể, trong trường hợp này, Snort sử dụng file local.rules nằm trong thư mục /etc/snort/rules/ để xác định các quy tắc phát hiện.
Tham số -i trong Snort xác định giao diện mạng mà chương trình sẽ giám sát, trong đó ens33 là tên của giao diện mạng, có thể là Ethernet hoặc một loại giao diện khác.
Tham số -A trong Snort xác định phương thức báo cáo các phát hiện, với tùy chọn console cho phép Snort hiển thị kết quả trực tiếp trên màn hình thay vì ghi vào file log.
Từ máy Kali, tiến hành ping đến máy Ubuntu:
Snort đã thành công trong việc phát hiện tấn công dò quét bằng lệnh Ping, đồng thời cung cấp các thông tin hữu ích như Timestamp, Source IP, Destination IP và các thông điệp liên quan.
Snort tổng hợp các logs đã được ghi lại thành 1 dạng báo cáo:
5.2.2 Tấn công dò quét dịch vụ và cổng (Service and Port Scanning)
Tấn công dò quét dịch vụ và cổng bằng Nmap là kỹ thuật mà tin tặc và chuyên gia bảo mật sử dụng để xác định cổng mở và các dịch vụ đang hoạt động trên hệ thống mạng Qua quá trình quét, họ phát hiện các cổng đang hoạt động và xác định phiên bản phần mềm tương ứng, từ đó tìm ra lỗ hổng bảo mật có thể bị khai thác Các phương pháp quét phổ biến như SYN scan và TCP connect scan có mức độ tinh vi và khả năng ẩn danh khác nhau Thông tin thu thập được giúp tin tặc lên kế hoạch cho các cuộc tấn công tiếp theo hoặc khai thác điểm yếu trong hệ thống.
Kẻ tấn công thực hiện việc dò quét máy nạn nhân bằng lệnh nmap, trong khi Snort được cấu hình trên máy nạn nhân sẽ phát hiện cuộc tấn công này dựa trên bộ luật đã thiết lập.
Nmap (Network Mapper) là công cụ mã nguồn mở mạnh mẽ giúp quét và quản lý mạng, cho phép xác định cổng mở, phát hiện dịch vụ và phiên bản phần mềm Công cụ này hỗ trợ nhiều kỹ thuật quét như SYN scan, TCP connect scan và UDP scan, cung cấp thông tin chi tiết về thiết bị mạng Nmap rất hữu ích cho việc đánh giá an ninh mạng, giúp chuyên gia bảo mật phát hiện lỗ hổng và điểm yếu trong hệ thống Ngoài ra, Nmap có khả năng nhận diện hệ điều hành, mang lại cái nhìn tổng quan về cấu trúc mạng Với giao diện dòng lệnh và giao diện đồ họa Zenmap, Nmap dễ sử dụng cho cả người mới và chuyên gia, đồng thời tính linh hoạt và khả năng mở rộng đã giúp Nmap trở thành công cụ phổ biến trong lĩnh vực an ninh mạng.
Cấu hình bộ quy tắc:
Tiếp tục cấu hình quy tắc tại local.rules
1 alert: Chỉ định rằng nếu quy tắc này được kích hoạt, Snort sẽ phát ra cảnh báo.
2 tcp: Xác định giao thức mà quy tắc áp dụng, ở đây là TCP.
+ Địa chỉ IP nguồn và cổng nguồn có thể là bất kỳ (không hạn chế).
+ Địa chỉ IP đích và cổng đích cũng có thể là bất kỳ.
4 msg:"Phat hien nmap XMAS" : msg là thông điệp cảnh báo sẽ được hiển thị khi quy tắc được kích hoạt Thông điệp này là "Phát hiện Nmap XMAS".
5 flow: Chỉ định rằng quy tắc này không phụ thuộc vào trạng thái của phiên kết nối (stateless).
6 flags: xác định các cờ TCP mà quy tắc sẽ tìm kiếm.
+ FPU có nghĩa là kiểm tra các cờ FIN (F), PSH (P) và URG (U).
+ 12 là giá trị nhị phân của các cờ này.
7 reference,30;: Đây là tham chiếu đến một quy tắc hoặc thông tin bổ sung từ một cơ sở dữ liệu khác (Arachnids) với ID là 30.
8 sid:1228;: Đây là ID của quy tắc (Snort ID), dùng để định danh quy tắc trong cơ sở dữ liệu quy tắc của Snort.
9 rev:7;: Phiên bản của quy tắc, cho biết quy tắc này đã được cập nhật đến phiên bản thứ 7.
Máy Kali tiến hành quét nmap bằng câu lệnh dưới đây:
1 sudo: Chạy Nmap với quyền quản trị, cho phép nó thực hiện các chức năng cần quyền cao hơn.
2 nmap: Tên công cụ, trong trường hợp này là Nmap.
-sX là chỉ định cho loại quét XMAS scan, một kỹ thuật gửi gói tin TCP với các cờ FIN, PSH và URG được thiết lập Phương pháp này cho phép xác định trạng thái cổng mà không cần thiết lập một kết nối hoàn chỉnh.
Tùy chọn T2 cho phép người dùng điều chỉnh tốc độ quét, nằm trong khoảng từ T0 (chậm nhất) đến T5 (nhanh nhất) T2 cung cấp tốc độ quét thấp hơn, giúp thực hiện quá trình quét một cách cẩn thận hơn, thường ít bị phát hiện nhưng cũng tốn nhiều thời gian hơn.
5 192.168.20.128: Địa chỉ IP của thiết bị mà bạn muốn quét.
Khởi động Snort bằng câu lệnh như phần trước