Tiểu luận một số công cụ phát hiện xâm nhập mạng máy tính môn khoa học tổng quát

Các công cụ phát hiện xâm nhập mạng IDS giúp giám sát, phát hiện và cảnh báo sớm về các hành vi tấn công, từ đó ngăn chặn thiệt hại trước khi quá muộn - Tính mới của đề tài đối với sinh

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA: CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN Một số công cụ phát hiện xâm nhập mạng máy tính

MÔN: KHOA HỌC TỔNG QUÁT

Ngành: Công Nghê ̣ Thông Tin

Chuyên ngành (nếu có): IOT-Kết Nối Va ̣n Vâ ̣t

Giảng viên hướng dẫn: Th S TRẦN KIM HUỆ

Sinh viên thực hiện: TRẦN ANH KIỆT – 23150164

NGUYỄN CẢNH THÀNH NAM – 23150182 HUỲNH CÔNG BÌNH – 23150199

TP Hồ Chí Minh, 7 tháng 12 năm 2024

Khoa/Viện: ………

NHẬN XÉT VÀ CHẤM ĐIỂM CỦA GIẢNG VIÊN TIỂU LUẬN MÔN: ………

1 Họ và tên sinh viên: ………

2 Tên đề tài:

3 Nhận xét: a) Những kết quả đạt được:

b) Những hạn chế:

4 Điểm đánh giá (theo thang điểm 10, làm tròn đến 0.5): Sinh viên:………

Điểm số: ……….…… Điểm chữ: ………

TP HCM, ngày … tháng … năm 20……

Giảng viên chấm thi

(Ký và ghi rõ họ tên)

1 TÍNH CẤP THIẾT VÀ Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI

- Tính cấp thiết của đề tài thực hiện:

hiện nay rất cấp thiết trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng và phức tạp Mạng máy tính đóng vai trò quan trọng trong hoạt động của các tổ chức, doanh nghiệp, và các cơ quan nhà nước, vì vậy việc bảo vệ hệ thống mạng khỏi các mối đe dọa

là vô cùng cần thiết Các công cụ phát hiện xâm nhập mạng (IDS) giúp giám sát, phát hiện và cảnh báo sớm về các hành vi tấn công, từ đó ngăn chặn thiệt hại trước khi quá muộn

- Tính mới của đề tài đối với sinh viên:

+ Mạng máy tính là một lĩnh vực không ngừng phát triển, mang đến vô vàn cơ hội nghiên cứu và ứng dụng cho sinh viên:

 Công nghệ mạng thế hệ tiếp theo 5G và 6G: tốc độ cao , độ trễ thấp , kết nối hàng tỷ thiết bị, mở đường cho nhiều ứng dụng mới như IoT,

xe tự lái , thực tế tăng cường Mạng được xác định bằng phần mềm ( SDN): Tính linh hoạt và tự động hóa cao , cho phép quản lý và kiểm soát mạng hiệu quả hơn Mạng không dây di động : Wi-Fi 6E, 5G SA,

mở rộng băng thông và cải thiện trải nghiệm người dùng

 Bảo mật thông tin và bảo mật mạng Các cuộc tấn công mạng ngày càng trở nên tinh vi hơn : lừa đảo, tống tiền, DDoS, khai thác lỗ hổng zero-day Bảo vệ dữ liệu cá nhân : GDPR, quy định CCPA , bảo mật thông tin y tế

 Internet vạn vật (IoT)Kết nối hàng tỷ thiết bị: nhà thông minh , thành phố thông minh , công nghiệp 4 0.Bảo mật IoT : Mối lo ngại về lỗ hổng bảo mật và các cuộc tấn công vào thiết bị IoT Mạng IoT : Giáo dục, Tiêu chuẩn và Kiến trúc mạng cho IoT

 Trí tuệ nhân tạo (AI) và học máy ( device learning ) trong mạng Tự động hóa quản lý mạng: Phân tích mạng dữ liệu, dự đoán sự cố, hiệu suất tối ưu hóa

 Các ứng dụng mạng mới Thực tế ảo và tăng cường (VR/AR): Yêu cầu băng thông lớn, tốc độ chậm.Blockchain: Tạo ra các hệ thống phân tích đáng tin cậy, ứng dụng trong tài chính chính, chuỗi ứng dụng 5G và các ứng dụng: Xe tự lái, y học từ xa, các ứng dụng công nghiệp

- Nguyên nhân tìm hiểu và ý nghĩa của đề tài:

+ Thế giới luôn kết nối: Mạng máy tính là nền tảng của cuộc sống hiện đại, từ công việc tiếp theo, làm việc đến giải trí.Việc hiểu rõ về mạng sẽ giúp bạn tận dụng tối đa các tiện ích mà công nghệ mang lại

+ Cơ hội nghề nghiệp: Ngành công nghệ thông tin, đặc biệt là mạng máy tính, rất phát triển và luôn cần những nhân tài.Công việc kiến trúc mạng sẽ mở ra cho bạn nhiều cơ hội làm việc hấp dẫn với trình độ lương cao

2 NHIỆM VỤ THỰC HIỆN CỦA ĐỀ TÀI

Các nhiệm vụ chính khi thực hiện đề tài bao gồm:

- Nhiệm vụ 1: Hiểu được tầm quan trọng của mạng máy tính

- Nhiệm vụ 2: Nghiên cứu các công cụ phát hiện xâm nhập mạng máy tính

- Nhiệm vụ 3: Đánh giá tổng quan những tiêu chí và hiệu quả của các công cụ phát hiện xâm nhập mạng máy tính

- Đối tượng tìm hiểu của đề tài: (Thuộc ngành/chuyên ngành? Giải quyết vấn đề gì thuộc ngành/chuyên ngành? Ứng dụng phần lý thuyết nào trong các môn học? Sử dụng công

cụ gì để thực hiện đề tài? )

- Thời gian thực hiện đề tài dự kiến: 7/12/2024

- Kinh phí thực hiện dự kiến: (nếu là đề tài cấp trường và dùng để dự thi sinh viên NCKH trong khối thi đua hoặc NCKH thành phố)

- Dự kiến kết quả đạt được: Giúp các sinh viên có cái nhìn tổng quan về một số công cụ phát hiện xâm nhập mạng máy tính

3 DỰ KIẾN CÁC PHẦN, CÁC MỤC

Sau các mục như Lời cảm ơn, Lời cam đoan, Tóm tắt đề tài, Mục lục, Bảng tra cứu

thuật ngữ, Danh mục hình ảnh và Danh mục các bảng, nội dung chính của đề tài sẽ

được cấu trúc như sau:

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI

1 Giới thiệu

1.1 Lý do chọn đề tài

Trong thời đại số hóa hiện nay, các cuộc tấn công mạng diễn ra ngày càng tinh vi và phức tạp, gây ra những thiệt hại nghiêm trọng về kinh tế và uy tín cho các tổ chức Mặc dù đã có nhiều công cụ phát hiện xâm nhập được phát triển, nhưng chúng vẫn còn một số hạn chế như tỷ lệ báo động giả cao, khả năng phát hiện các loại tấn công mới còn hạn chế Chính vì vậy, việc nghiên cứu và xây dựng một công cụ phát hiện xâm nhập hiệu quả hơn là vô cùng cần thiết

1.2 Mục tiêu nghiên cứu

- Nghiên cứu các loại tấn công mạng phổ biến hiện nay

- Tìm hiểu các công cụ phát hiện xâm nhập mạng máy tính (IDS)

- Đánh giá hiệu quả và ưu nhược điểm của từng loại công cụ

1.3 Cấu trúc đề tài

- Giới thiệu về xâm nhập mạng máy tính: cung cấp định nghĩa xâm nhập mạng máy tính, vai trò của hệ thống phát hiện xâm nhập (IDS)

-Tìm hiểu về các phương pháp tấn công mạng máy tính: trình bày các hình thức tấn công phổ biến hiện nay

-Phân loại các hệ thống phát hiện xâm nhập: IDS dựa trên chữ kĩ, IDS dựa trên hành

+ Hệ thống phát hiện dựa trên dấu hiệu xâm nhập

+ Hệ thống phát hiện các dấu hiệu bất thường

- Kẻ tấn công có những dấu hiệu, giống như là virus, có thể được phát hiện bằng cách

sử dụng phần mềm bằnvg cách tìm ra dữ liệu của gói tin mà có chứa bất kì dấu hiệu xâm nhập hoặc dị thường được biết đến dựa trên một tập hợp các dấu hiệu (signatures) hoặc các qui tắc (rules) Hệ thống phát hiện có thể dò tìm, ghi lại các hoạt động đáng ngờ này và đưa ra các cảnh báo Anomaly-based IDS thường dựa vào phần header giao thức của gói tin được cho là bất thường để phát hiện các hành vi xâm nhập hoặc các cuộc tấn công tiềm ẩn Phần header chứa thông tin quan trọng như địa chỉ IP

nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, loại giao thức (TCP, UDP, ICMP ), và các thông tin khác về cấu trúc gói tin IDS sẽ so sánh các thông tin này với các mẫu hành vi đã được học hoặc thiết lập trước đó, từ đó xác định những gì là "bình thường"

và "bất thường"

2.2 Vai trò và chức năng của hệ thống phát hiện xâm nhập IDS

2.2.1 Vai trò của IDS

- Các IDS được thiết kế để xác định hoạt động đáng ngờ và độc hại thông qua lưu lượng mạng và IDS cho phép khai thác và kiểm tra xem hệ thống mạng có đang bị tấn công hay không Có hai loại IDS chính :

+ NIDS sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng để theo dõi mạng nhằm mục đích tìm kiếm những lưu lượng trùng với những mô tả được định nghĩa hay

là những dấu hiệu Một số lợi thế của NIDS có thể kể đến như: quản lý được cả một network segment (gồm nhiều host); cài đặt và bảo trì đơn giản; tránh DoS ảnh hưởng đến một host nào đó; có khả năng xác định lỗi ở tầng Network (ở mô hình OSI) và độc lập với hệ điều hành, Ngoài ra, cũng tồn tại một số hạn chế: có thể xảy ra báo động giả; không thể phân tích các gói tin được mã hóa; đòi hỏi việc cập nhật các signature mới nhất để đảm bảo an toàn; không có thông báo về việc tấn công có thành công hay không,…

Hình 2.1 Mô hình mạng NIDS

+ HIDS được sử dụng để phân tích và phát hiện xâm nhập Đồng thời, hệ thống báo cáo chính xác các hoạt động mà kẻ tấn công đã thực hiện, bao gồm các câu lệnh, hoặc các tệp tin đã được mở Lợi thế khi sử dụng HIDS như: xác định được người dùng liên quan tới sự kiện; phát hiện các cuộc tấn công diễn ra trên một máy; phân tích được các

dữ liệu mã hoá; cung cấp thông tin về host khi diễn ra tấn công Và một số hạn chế như: thông tin không đáng tin cậy; phải được thiết lập trên từng host cần giám sát; không có khả năng phát hiện các cuộc dò quét mạng; cần tài nguyên trên host để hoạt động; không hiệu quả khi bị DoS,…

Hình 2.2 Mô hình mạng HIDS

Các NIDS thu thập lưu lượng mạng từ tất cả các thiết bị thông qua NIDS và HIDS, do

đó việc phát hiện xâm nhập trên cơ sở hạ tầng CNTT được đảm bảo và nâng cao

2.2.2 Chức năng IDS

- Hệ thống IDS bao gồm bốn chức năng chính là thu thập dữ liệu, chọn lọc đặc trưng, phân tích và thực thi (hình 2.3)

Hình 2.3 Chức năng của IDS

- Ở quá trình thu thập dữ liệu, các loại dữ liệu thu thập được ghi nhận lại thành từng tập tin, sau đó được sử dụng để phân tích Các đặc trưng cụ thể từ tập dữ liệu lớn thường có sẵn trong mạng và chúng được đánh giá cho việc phát hiện xâm nhập Ví dụ như địa chỉ IP của một nguồn và hệ thống, các loại giao thức, độ dài và kích thước của header cũng có thể được sử dụng làm yếu tố phục vụ cho sự phát hiện xâm nhập Ở giai đoạn phân tích, dữ liệu sẽ được khai tác để tìm ra các dữ liệu phù hợp Hệ thống IDS sẽ thiết lập các qui tắc để phân tích dữ liệu, tại đây lưu lượng mạng được phân tích lại một lần nữa bằng các mẫu và signature đã được xác định trước Ngoài ra, hệ thống IDS cũng có thể dựa trên sự bất thường từ tín hiệu của hệ thống để từ đó hình thành các mô hình toán học sử dụng cho mục tiêu phát hiện xâm nhập Ở phần thực thi, hệ thống IDS sẽ xác định về các hoạt động tấn công và phản ứng của hệ thống Từ

đó báo tín hiệu đến nhân viên quản trị hệ thống tất cả các dữ liệu được yêu cầu thông qua email, hoặc IDS có thể chủ động loại bỏ các gói tin đáng nghi để nó không gây hại

cho hệ thống

2.3 Phân loại các hệ thống phát hiện xâm nhập

2.3.1 IDS dựa trên chữ ký (Signature-based IDS)

- Đặc điểm: Phát hiện tấn công dựa trên các mẫu chữ ký tấn công đã biết

- Cách thức hoạt động: IDS sẽ so sánh dữ liệu đầu vào (lưu lượng mạng hoặc hành vi

hệ thống) với cơ sở dữ liệu chữ ký các cuộc tấn công đã biết Nếu có sự trùng khớp, hệ thống sẽ cảnh báo về cuộc tấn công hoặc hành vi xâm nhập

- Ưu điểm:

+ Phát hiện chính xác các tấn công đã biết

+ Dễ triển khai và bảo trì

- Nhược điểm:

+ Không phát hiện được tấn công mới hoặc chưa biết

+ Dễ bị qua mặt bởi các tấn công thay đổi chữ ký

- Ví dụ:

+ Snort sử dụng cơ chế chữ ký để phát hiện các tấn công mạng như SQL

injection, XSS

+ Suricata cung cấp một hệ thống phát hiện với chữ ký mạng mạnh mẽ

2.3.2 IDS dựa trên hành vi (Anomaly-based IDS)

- Đặc điểm: Phát hiện hành vi bất thường so với hành vi bình thường của hệ thống

- Cách thức hoạt động: IDS sẽ ghi nhận các hoạt động bình thường của hệ thống hoặc mạng (ví dụ: lưu lượng mạng, truy cập tệp, hoặc hành vi của người dùng) trong một khoảng thời gian dài Sau đó, hệ thống sẽ so sánh hành vi thực tế với hành vi đã học và phát hiện các sự khác biệt đáng chú ý, báo hiệu một cuộc tấn công hoặc sự xâm nhập

- Ưu điểm:

+ Phát hiện tấn công mới hoặc chưa biết

+ Có thể nhận diện các tấn công tinh vi

- Nhược điểm:

+ Tỷ lệ dương tính giả cao

+ Cần thời gian huấn luyện hệ thống

2.3.3 IDS hỗn hợp (Hybrid IDS)

- Đặc điểm: Kết hợp cả phát hiện chữ ký và hành vi

- Cách thức hoạt động: IDS hỗn hợp sẽ sử dụng các chữ ký để phát hiện các cuộc tấn công đã biết và đồng thời sử dụng phân tích hành vi để phát hiện các mối đe dọa chưa biết hoặc các hành vi xâm nhập bất thường Điều này giúp IDS hỗn hợp có khả năng phát hiện chính xác hơn và giảm thiểu tỷ lệ dương tính giả

- Ưu điểm:

+Phát hiện tấn công đã biết và chưa biết

+Giảm thiểu tỷ lệ dương tính giả

- Nhược điểm:

+Phức tạp trong triển khai và bảo trì

+Cần tài nguyên tính toán cao

- Ví dụ:

+ Security Onion là một nền tảng bảo mật mạng hỗn hợp, kết hợp nhiều công

cụ IDS như Snort (chữ ký) và Suricata (hành vi)

+ AlienVault USM sử dụng các phương pháp hỗn hợp để phát hiện các mối đe dọa qua mạng và hệ thống

2.4 Một số công cụ IDS phổ biến

2.4.1 Snort

- Giới thiệu:

Hình 2.4 Mô hình Snort

Snort là một công cụ IDS mã nguồn mở được phát triển bởi Cisco, rất phổ biến trong việc phát hiện xâm nhập và bảo mật mạng Nó có thể hoạt động như một hệ thống phát hiện xâm nhập (IDS) hoặc hệ thống ngăn chặn xâm nhập (IPS)

- Các tính năng:

+ Phát hiện xâm nhập: Snort sử dụng các chữ ký (signatures) để phát hiện các cuộc tấn công đã biết Công cụ này cung cấp khả năng phát hiện mạnh mẽ các cuộc tấn công phổ biến như SQL injection, buffer overflow

+ Phân tích lưu lượng mạng: Snort có thể phân tích lưu lượng mạng trong thời gian thực, giúp phát hiện các cuộc tấn công dựa trên các mẫu

dữ liệu đặc trưng

+ Hỗ trợ nhiều nền tảng: Snort có thể chạy trên nhiều hệ điều hành khác nhau, bao gồm Linux, Windows, và macOS Điều này giúp triển khai dễ dàng trong các môi trường khác nhau

- Ưu điểm:

+ Mã nguồn mở và miễn phí + Dễ dàng cấu hình và mở rộng + Có cộng đồng hỗ trợ lớn

Hình 2.5 Bảo mật chủ động với Suricata

- Suricata là một công cụ phát hiện mối đe dọa nguồn mở mạnh mẽ, linh hoạt và cung

cấp các chức năng phát hiện xâm nhập (IDS), ngăn chặn xâm nhập (IPS) và giám sát

an ninh mạng Nó thực hiện kiểm tra gói sâu cùng với sự kết hợp mẫu phù hợp cực kỳ mạnh mẽ trong việc phát hiện mối đe dọa

- Các tính năng:

+ Phân tích lưu lượng mạng: Suricata có thể phân tích các gói mạng ở tốc độ cao, phát hiện và phân tích các cuộc tấn công trong thời gian thực

+ Phát hiện xâm nhập: Suricata hỗ trợ phát hiện xâm nhập dựa trên chữ

ký và hành vi, có thể phát hiện cả các tấn công đã biết và các hành vi bất thường

+ Ghi nhận và phân tích tệp: Suricata có khả năng ghi nhận và phân tích các tệp tải lên hoặc tải xuống qua mạng, giúp phát hiện các mối đe dọa

từ mã độc hoặc tấn công qua tệp

+ Hỗ trợ nhiều nền tảng: Suricata có thể hoạt động trên nhiều hệ điều hành và tích hợp với các công cụ bảo mật khác như Elasticsearch, Kibana, và Logstash để phân tích và trực quan hóa dữ liệu

Suricata phát hiện và chặn một cuộc tấn công DDoS dựa trên mẫu chữ ký

2.4.2.1 Cài đặt Suricata trên Debian/Ubuntu & Mint

- Suricata được cung cấp bởi kho lưu trữ Debian/Ubuntu và có thể dễ dàng cài đặt bằng

Suricata mới nhất Để cài đặt phiên bản mới nhất, bạn cần cài đặt nó từ một nguồn mà chúng tôi sẽ đề cập ở phần sau trong hướng dẫn này

- Để cài đặt Suricata bằng trình quản lý gói apt, hãy chạy lệnh:

“sudo apt install suricata –y”

- Suricata tự động khởi động sau khi cài đặt Bạn có thể xác nhận điều này như sau

“sudo systemctl status suricata”

2.4.3 Zeek

- Giới thiệu:

Zeek (trước đây là Bro) là một nền tảng mã nguồn mở và miễn phí để giám sát an ninh mạng Nó là một công cụ phân tích lưu lượng truy cập mạng thụ động mạnh mẽ để điều tra hoạt động đáng ngờ hoặc độc hại Zeek có thể được sử dụng làm trình giám sát

an ninh mạng (NSM) và hỗ trợ nhiều phân tích lưu lượng truy cập, từ miền bảo mật đến đo lường hiệu suất và khắc phục sự cố

- Các tính năng:

+ Phân tích giao thức: Zeek có khả năng phân tích nhiều giao thức mạng như HTTP, DNS, FTP, SMTP và nhiều giao thức khác, cho phép phát hiện các cuộc tấn công qua các giao thức này

+ Giám sát hoạt động mạng: Zeek giám sát toàn bộ hoạt động mạng và

có thể phát hiện các hành vi bất thường như tấn công DDoS, quét cổng, hoặc các hành vi lạ

+ Phân tích hành vi: Zeek giúp phát hiện các hành vi xâm nhập tinh vi thông qua việc phân tích các mẫu lưu lượng mạng và các kết nối giữa các hệ thống

+ Khả năng mở rộng: Zeek có thể mở rộng và tùy chỉnh thông qua các script, cho phép các tổ chức phát triển các phương thức phát hiện tùy chỉnh

- Ưu điểm:

+ Phân tích sâu sắc và chi tiết về giao thức mạng + Có khả năng phát hiện các hành vi phức tạp và chưa biết + Rất mạnh trong việc phát hiện các mối đe dọa mạng tinh vi và nâng cao khả năng báo cáo

- Nhược điểm:

+ Cần có kiến thức chuyên sâu để cấu hình và sử dụng hiệu quả + Không thể phát hiện tấn công nhanh chóng như các hệ thống IDS dựa trên chữ ký