xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của việt nam chưa được quan tâm và đầu tư đúng mức.
Trang 1LỜI CẢM ƠN
Lời đầu tiên tôi xin cảm ơn chân thành và sâu sắc nhất đến Thầy
TS ĐINH ĐỨC ANH VŨ, Thầy đã dành rất nhiều thời gian hướng dẫn tôi
một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về luận văn này.
Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy,
Cô ở HỌC VIỆN BƯU CHÍNH VIỄN THÔNG đã truyền đạt nhiều kiến thức quý báu cho tôi trong suốt quá trình học tập tại đây
Xin gởi lời cám ơn đến Thầy trưởng khoa CNTT TS TRẦN CÔNG HÙNG,
TS TÂN HẠNH, TS.VÕ VĂN KHANG đã có những góp ý hết sức quý báu cho bản luận văn này
Xin cảm ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động viên trong suốt thời gian qua, một người bạn, đã góp ý rất nhiều cho luận văn
TP Hồ Chí Minh, tháng 6-2012
Học viên thực hiện luận văn ĐÀO ANH VŨ
Trang 2LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của
Thầy TS.ĐINH ĐỨC ANH VŨ Các kết quả nêu trong luận văn là hoàn toàn trung
thực và chưa được công bố trong bất kỳ một công trình nào khác
Học viên thực hiện luận văn
ĐÀO ANH VŨ
Trang 3MỤC LỤC
LỜI CẢM ƠN i
LỜI CAM ĐOAN ii
MỤC LỤC iii
DANH MỤC CÁC TỪ VIẾT TẮT vii
DANH MỤC CÁC HÌNH viii
DANH MỤC CÁC BẢNG xi
MỞ ĐẦU 12
CHƯƠNG 1: TỔNG QUAN 15
1.1 Giới thiệu 15
1.2 Mục tiêu nghiên cứu của luận văn 16
1.3 Giới thiệu các chương mục của luận văn 17
1.4 Những đóng góp của luận văn 18
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 19
2.1 Giới thiệu : 19
2.2 Một số khái niệm 19
2.2.1 IDS 19
2.2.2 Phát hiện xâm nhập 20
2.2.3 Network IDS 20
2.2.4 Host IDS 20
2.2.5 Signature 20
2.2.6 Alert 21
2.2.7 False Alarm 21
2.2.8 Sensor 21
2.3 Chức năng của IDS 21
2.4 Các phương pháp nhận biết tấn công 21
2.4.1 Nhận biết dựa vào dấu hiệu (Signature-base) 22
2.4.2 Nhận diện bất thường (Anomaly-base) 22
Trang 42.4.3 Phân tích trạng thái giao thức (Stateful protocol analysis) 22
2.5 Cơ sở hạ tầng IDS 23
2.6 Cấu trúc IDS 24
2.6.1 Các thành phần cơ bản 24
2.6.2 Cấu trúc IDS 25
2.7 Phân loại 26
2.7.1 HIDS 26
2.7.2 NIDS 28
2.7.3 Wireless IDS 33
2.7.4 Phân tích hành vi hệ thồng mạng (Network Behavior Analysis System) 36
2.7.5 Honeypot IDS 37
2.8 Những kỹ thuật chi tiết 37
2.8.1 Các kỹ thuật xử lý dữ liệu: 37
2.8.2 Mô hình tiến trình cho hệ thống 39
2.8.3 Phân biệt giữa các phương pháp xâm nhập 40
2.8.4 Kiến trúc hệ thống phát hiện xâm nhập 40
2.8.5 Mục tiêu của hệ thống phát hiện xâm nhập 41
2.8.6 Mô hình điều khiển 41
2.8.7 Timing 42
2.8.8 Các nguồn thông tin 42
2.8.9 Cơ chế phân tích của IDS 44
2.8.10 Các tùy chọn đáp ứng 45
CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 47
3.1 Khái niệm 47
3.2 Nguyên lý hoạt động 48
3.2.1 Kiến trúc hệ thống IPS ngoài luồng 48
3.2.2 Các kiểu hệ thống IPS trong luồng 51
3.3 Công nghệ ngăn chặn xâm nhập của IPS 53
3.3.1 Signature-base 53
3.3.2 Anomaly-base IPS 56
3.3.3 Policy-base IPS 59
3.3.4 Protocol Analysis-base IPS 59
3.4 Mô hình IPS 60
3.4.1 Host-base IPS 60
3.4.2 Network-base IPS 60
3.5 Các kiểu IPS 61
3.5.1 Session sniping 61
Trang 53.5.2 Packet filtering 61
3.5.3 Packet scubbing 62
3.5.4 Ip blocking 62
3.5.5 Deception : 62
3.6 Rủi ro đối với hệ thống 64
3.7 Kết luận 64
CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM 65
4.1 Giới thiệu về phần mềm Snort 65
4.2 Thành phần của Snort 66
4.2.1 Packet Decoder (bộ phân giải mã gói) 67
4.2.2 Preprocessor (bộ phận tiền xử lý) 67
4.2.3 Detection Engine (bộ phận phát hiện) 67
4.3 Các chế độ hoạt động của Snort 68
4.3.1 Sniffer 68
4.3.2 Logger 69
4.3.3 NIDS 70
4.4 Kết luận 71
CHƯƠNG 5: GIỚI THIỆU SNORT RULE 72
5.1 Rule header 72
5.2 Rule Option 73
5.2.1 Các từ khóa lựa chọn liên quan đến nội dung (Content related) 73
5.2.2 Các từ khóa lựa chọn liên quan đến phiên làm việc (Session related) 74
5.2.3 Các từ khóa lựa chọn liên quan đến IP (ip related) 74
5.2.4 Các từ khóa lựa chọn liên quan đến TCP (TCP related) 75
5.2.5 Các từ khóa lựa chọn liên quan đến ICMP (ICMP related) 75
5.2.6 Snort Response Option keywords 76
5.2.7 Meta Option keyword 77
5.2.8 Các từ khóa lựa chọn khác 77
5.3 Kết luận 77
CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 78
6.1 Mô hình thực nghiệm cài đặt và cấu hình snort IDS 78
Trang 66.2 Cài đặt hệ thống 79
6.3 Viết một số rule cơ bản và Demo chống một số kiểu tấn công 86
6.3.1 Chống SQL injection cho web server 86
6.3.2 Chống Ping of Death (Một hình thức của Dos) 88
6.3.3 Chống Scan 89
6.4 Cập nhật rules tự động (Updating Rules Automatically) 90
6.5 Kết luận 96
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 97
7.1 Kết luận 97
7.2 Hướng phát triển 97
TÀI LIỆU THAM KHẢO 99
Tiếng Việt 99
Tiếng Anh 99
WEBSITE THAM KHẢO 100
Trang 7DANH MỤC CÁC TỪ VIẾT TẮT
Viết
VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam
NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống
mạng
IPS Intrusion prevention system Phòng chống xâm nhập hệ thống
HIDS Host Intrusion Detection System
ICMP Internet Control Message Protocol
PCRE Perl Compatible Regular Expressions
RAID Recent Advances in Intrusion
Detection
PERL Perl Programming Language
Trang 8DANH MỤC CÁC HÌNH
Hình 0.1 Nhiệm vụ của một IDS 12
Hình 0.2 Biểu đồ thống kê hệ thống máy tính bị tấn công 13
Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet 15
Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011 16
Hình 2.1 Intrustion Detection system activities 23
Hình 2.2 Intrustion Detection system infrastructure 24
Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di chuyển giữa các thành phần của hệ thống 25
Hình 2.4 Các thành phần chính của 1 hệ IDS 26
Hình 2.5 Mô hình triển khai Host-based IDS agent 27
Hình 2.6 Mô hình triển khai Network- Base IDS 29
Hình 2.7 Mô hình triển khai Sensor kiểu thẳng hàng 31
Hình 2.8 Mô hình triển khai Sensor kiểu thụ động 32
Hình 2.9 Mô hình triển khai Wireless IDS 34
Hình 2.10 Mô hình triển khai trên NBAS 36
Hình 2.11 Mô hình vị trí của Honeypot IDS 37
Hình 2.12 Cơ chế phát hiện sự lạm dụng 44
Trang 9Hình 2.13 Cơ chế phát hiện sự không bình thường 45
Hình 3.1 Mô hình IPS 47
Hình 3.2 Promicious mode 51
Hình 3.3 Inline mode 52
Hình 3.4 Signature-base 53
Hình 3.5 Anomaly-base 56
Hình 3.6 Policy-base 58
Hình 4.1 Các thành phần của snort 66
Hình 5.1 Cấu trúc một rule trong snort 72
Hình 6.1 Mô hình triển khai snort IDS 78
Hình 6.2 Quản lý snort bằng giao diện đồ họa 81
Hình 6.3 Quản lý rules trên giao diện đồ họa 81
Hình 6.4 Phát hiện xâm nhập trên Base giao diện web 83
Hình 6.5 Phát hiện có người Ping Trong mạng 84
Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa 84
Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa 85
Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa 85
Trang 10Hình 6.9 Chống SQL injection cho web server 86
Hình 6.10 Phát hiện cảnh báo SQL injection 86
Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection 87
Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection 87
Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection 88
Hình 6.14 Chống Ping of Death ( DoS, DDoS ) 88
Hình 6.15 Tín hiệu cảnh báo tấn công ddos 89
Hình 6.16 Chống scanning port trong mạng lan 89
Hình 6.17 Chống Scan và Block IP 90
Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP 90
Hình 6.19 Đăng ký account Snort 92
Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort 92
Hình 6.21 Tạo mật mã truy cập oinkcode 93
Hình 6.22 Cập nhật rules tự động trong snort 95
Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công 96
Trang 11DANH MỤC CÁC BẢNG
Bảng 2.1: So sánh giữa HIDS và NIDS 30
Bảng 5.1: Quy định các loại giao thức 74
Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP 75
Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP 75
Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP 76
Trang 12MỞ ĐẦU
Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi chocon người Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từkhóa Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều tháchthức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập
Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết Phươngpháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗingày một nhiều
Theo mạng an toàn thông tin VSEC (The Vietnamese security network),70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bịhacker kiểm soát Điều này cho thấy chính sách về bảo mật của các hệ thống thôngtin của việt nam chưa được quan tâm và đầu tư đúng mức
Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâmnhập – IDS ngày càng trở nên phổ biến
Nhiệm vụ của những IDS này là :
Hình 0 Nhiệm vụ của một IDS
Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát hiện bất thường và tiếp cận dựa trên dấu hiệu
Interne
t
Trang 13Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùngquan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàn chothông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổchức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngàycàng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệthống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soátluồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ
cố định Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấncông mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống
Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gầnđây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%các cuộc tấn công được thực hiện là ở lớp ứng dụng web) Trong đó hai kĩ thuật tấncông được các hacker sử dụng phổ biến là cross-site scripting và sql injection :
Hình1 Biểu đồ thống kê hệ thống máy tính bị tấn côngKiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hànhbằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cáchlừa người dùng nhấn vào những liên kết này Khi đó đoạn mã độc hại này sẽ đượcthực thi trên máy tính của nạn nhân Kỹ thuật thực hiện các cuộc tấn công kiểu nàykhông có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng vàserver (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc
Trang 14không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những URL
bị chèn thêm các mã độc hại Còn SQL Injection liên quan đến một kĩ thuật chèncác từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao táctrên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điềukhiển quá trình thực thi câu lệnh SQL ở server
Vì vậy, cần có một hệ thống phòng thủ thật vững chắc có thể đứng vững trước cáccuộc tấn công mạng ngày càng gia tăng về quy mô lẫn kỹ thuật Một hệ thống mạngngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo vàphòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công cónguy cơ làm tổn hại hệ thống mạng
Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lốivào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả cácthông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trướckhi truyền, ký trước khi truyền,
Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập tráiphép trên mạng (NIDS-Network Intrusion Detection System)
Đề tài : “xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS)
mô phỏng trên phần mềm snort”.
Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn cũngcòn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thờigian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này Rất mong sự góp
ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu
Trang 15CHƯƠNG 1: TỔNG QUAN1.1 Giới thiệu
Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng07/2010 đã có hơn 440 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụhướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâumáy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh(hình 1.2) ; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơnbao giờ hết Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứunhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm
15-17/2010 [W2] (lần 14 tại Menlo Park, California, September 20-21/2011)
Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet.
Trang 16Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011.
Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúpcác doanh nghiệp được bảo mật hơn Các nghiên cứu này cho thấy bảo mật, phòngchống tấn công, xâm nhập ở Việt Nam chưa cao Vì vậy, bảo mật hệ thống máy tính
ở Việt Nam cần được quan tâm nhiều hơn Những hệ thống bảo mật nên thiết kếtriển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấncông, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵnsàng, và bảo mật cho hệ thống mạng
1.2 Mục tiêu nghiên cứu của luận văn
Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòngchống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT.Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ lọc gói
ở tầng bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xâydựng một hệ thống phát xâm nhập mạng (IDS)
Trang 171.3 Giới thiệu các chương mục của luận văn
Chương 1: Tổng quan
Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu vànhững đóng góp của luận văn
Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng
Chương 2 trình bày các mô hình và phương pháp phát hiện tấn công, xâmnhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật pháthiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể Thiết kế các vị trí đặt
hệ thống phát hiện tấn công, xâm nhập Đồng thời chương này cũng trình bày các
kỹ thuật tấn công, xâm nhập
Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS)
Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũngnhư những thành phần của một IPS Chương này hết sức quan trọng, chính là cơ sở
để phòng chống xâm nhập mạng
Chương 4: Triển khai hệ thống phát hiện xâm nhập
Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở Snort, các thành phần của snort và các chế độ hoạt động của nó
Chương 5: Giới thiệu Snort rule
Chương 5 này giới thiệu cho chúng ta biết những thành phần của một ruletrong snort, từ đó dựa vào những thành phần này mà chúng ta có thể điều chỉnhhoặc viết lại những rule cho phù hợp với hệ thống đang chạy, thêm một kênh hữuích cho người quản trị mạng nắm bắt được những bất thường, tấn công, virus dạnghướng thời gian, diễn ra nhanh trên mạng của mình
Trang 18Chương 6: Thực nghiệm và đánh giá.
Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâmnhập trong mạng LAN
Quản lý phần mềm Snort bằng giao diện đồ họa, đồng thời có thể xem tínhiệu cảnh báo thông qua giao diện web như: base, mail, tin nhắn sms qua điện thoại
di động Có thể xuất ra report ngay trên web chúng ta có thể xem theo giờ, ngày,tháng và in ra
Trong chương này snort còn cho chúng ta cập nhật các rules tự động trong hệthống khi VRT sourcefire cập nhật những lỗ hỏng trên internet thì hệ thống chúng tacũng được cập nhật những rules mới này cho toàn hệ thống
Chương 7: Kết luận và hướng phát triển
1.4 Những đóng góp của luận văn
chống xâm nhập mạng
kỹ thuật phòng chống xâm nhập trái phép trên mạng
Trang 19CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT
HIỆN TẤN CÔNG TRÊN MẠNG
Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công,xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuậtphát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host vàgiám sát ở mức độ network Đồng thời chương này cũng trình bày các kỹ thuật xử
lý dữ liệu
2.1 Giới thiệu :
Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức
từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của khônglực Hoa Kỳ [1] Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến,một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiêncứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển theo sựbùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi vàthực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisconhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDStên là Wheel [1]
Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm
có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệthống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,bảo mật Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngàycàng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơntrong nền tảng bảo mật của các tổ chức [2]
Trang 202.2 Một số khái niệm.
2.2.1 IDS.
Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệthống mạng để tìm ra các dấu hiệu vi phạm các quy định bảo mật máy tính, chínhsách sử dụng và các tiêu chuẩn an toàn thông tin Các dấu hiệu này xuất phát từnhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép,người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1]
2.2.2 Phát hiện xâm nhập.
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệthống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâmnhập bất hợp pháp” Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đótrên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là mộtngười dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họchưa được cấp phát [1]
2.2.3 Network IDS
Network IDS (NIDS) là các hệ thống phát hiện tấn công, nó có thể bắt giữcác gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánhchúng với cơ sở dữ liệu các tín hiệu [1],[2]
2.2.4 Host IDS
Host IDS (HIDS) được cài đặt như là một tác nhân trên máy chủ Những hệthống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụnghoặc của hệ thống để phát hiện những hành động xâm nhập[1], [2]
2.2.5 Signature
Là dấu hiệu tìm thấy trong các gói tin, được sử dụng để phát hiện ra mộtcuộc tấn công Ví dụ ta có thể tìm thấy các dấu hiệu trong IP hearder, hearder của
Trang 21IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị pháthiện ra [1].
2.2.6 Alert.
Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp.Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiềucách khác Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyêngia bảo mật có thể xem lại Thông tin mà IDS thu được sẽ lưu lại trong file để ngườiquản trị có thể theo dõi những gì đang xảy ra trong hệ thống mạng Chúng có thểđược lưu lại dưới dạng text hoặc dạng nhị phân [1]
2.2.7 False Alarm
Là những thông báo đúng về một dấu hiệu xâm nhập nhưng hành động sai[1]
2.2.8 Sensor
Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng
để bắt tín hiệu âm thanh, màu sắc, áp xuất thì sensor ở đây sẽ bắt các tín hiệu códấu hiệu của xâm nhập bất hợp pháp [1]
2.3 Chức năng của IDS
Nhận diện các nguy cơ có thể xảy ra
Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ
Nhận diện các hoạt động thăm dò hệ thống
Nhận diện các chính sách yếu khuyết của chinh sách bảo mật
Ngăn chặn vi phạm chính sách bảo mật
Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát
Xuất báo cáo [1]
Trang 222.4 Các phương pháp nhận biết tấn công
Các hệ thống IDS thường dùng nhiều phương pháp nhận biết khác nhau,riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện [1] Cóthể chia thành các phương pháp nhận biết chính sau:
2.4.1 Nhận biết dựa vào dấu hiệu (Signature-base).
Sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với cácdấu hiệu của các mối nguy hại đã biết Phương pháp này có hiệu quả với các mốinguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với cácmối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn tránh Signature-basekhông thể theo vết và nhận diện trạng thái của các truyền thông phức tạp [1]
2.4.2 Nhận diện bất thường (Anomaly-base)
So sánh định nghĩa của những hoạt động bình thường và đối tượng quan sátnhằm xác định các độ lệch Một hệ IDS sử dụng phương pháp Anormaly-basedetection có các profiles đặc trưng cho các hành vi được coi là bình thường, đượcphát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong mộtkhoảng thời gian Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụngphương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với cácngưỡng định bởi profile tương ứng để phát hiện ra những bất thường [1], [2]
Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic Static
profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nênkhông chính xác, và cần phải được tái tạo định kỳ Dynamic profile được tự độngđiều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều nàycũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu( evasion techniques) Ưu điểm chính của phương pháp này là nó rất có hiệu quảtrong việc phát hiện ra các mối nguy hại chưa được biết đến
Trang 232.4.3 Phân tích trạng thái giao thức (Stateful protocol analysis)
Phân tích trạng thái protocol là quá trình so sánh các profile định trước củahoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đóxác định độ lệch Khác với phương pháp Abnomaly-base detection, phân tích trạngthái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đóquy định 1 protocol nên làm và không nên làm gì "Stateful" trong phân tích trạngthái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vậnchuyển, và các giao thức ứng dụng có trạng thái [1],[2]
Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạptrong việc phân tích và theo dõi nhiều phiên đồng thời Một vấn đề nghiêm trọng làphương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn côngkhi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức
Trang 24của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập đượcliên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chínhcủa mỗi hệ thống IDS) để phát hiện các cuộc tấn công [1], [2].
Khi phát hiện có xâm nhập hệ thống IDS phát các cảnh báo đến người quảntrị về sự kiện này Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặcbởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiênlàm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụngcác cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức
Giám sát và phân tích các hoạt động “Sensor” thường được dùng cho dạngNetwork-base IDS/IPS trong khi “Agent” thường được dùng cho dạngHost-baseIDS/IPS
Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản
lý chúng Một số Management Server có thể thực hiện việc phân tích các thông tin
Trang 25sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này
dù các Sensor / Agent đơn lẻ không thể nhận diện
2.6.2 Cấu trúc IDS
Sensor là yếu tố cốt lõi trong một hệ thống IDS, có trách nhiệm phát hiện cácxâm nhập nhờ những cơ cấu ra quyết định đối với sự xâm nhập Sensor nhận dữ liệuthô từ ba nguồn thông tin chính : Cơ sở dữ liệu của IDS, syslog và audit trail Cácthông tin này hỗ trợ cho quá trình ra quyết định sau này
Database (IDS knowledge Database)
Sensor (decision-making mechanism) Attack Response Module Database
(IDS configuration)
Protected Computer System
Audit Trails and Network Monitoring
Intrusion Detection System
Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông
tin di chuyển giữa các thành phần của hệ thống
Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu một event generator Dựa vào các chính sách tạo sự kiện, sensor xác định chế độ lọc
Trang 26-thông tin -thông báo sự kiện Các event generator (hệ điều hành, mạng, ứng dụng)tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sựkiện của hệ thống, hoặc các gói tin.
Information Collection Detection Response
Event Generator
Set of Events (Syslogs, System Status, Network Packets)
Information Collection Policy
Analyzer (Sensor) ResponseModule
Detection Policy
2.7 Phân loại
2.7.1 HIDS
Được triển khai trên từng host,thôngthường là 1 software hoặc 1 agent, mụctiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần nàynhằm nhận diện các hoạt động khả nghi Host-based IDSthường được triển khai trêncác host có tính chất quan trọng (public servers, sensitive data servers), hoặc 1 dịch
vụ quan trọng (trường hợp đặc biệt này được gọi là application-based IDS)[3]
Quá trình triển khai các agent HIDS thường đơn giản do chúng là một phầnmềm được cài đặt trực tiếp lên host Application-based agent thường được triển khaithẳng hàng ngay phía trước host mà chúng bảo vệ [3]
Trang 27Hình 2.5.Mô hình triển khai Host-based IDS agent[3]
Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-basedIDS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances[2]
Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lênhost được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua
đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn
Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất địnhnên trong trường hợp này người ta sử dụng thiết bị Một lý do khác để sử dụng thiết
bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host
Hệ thống HIDS cung cấp khả năng bảo mật sau:
Trang 28(1) Khả năng ghi log.
(2) Khả năng phát hiện
(a) Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sáthàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện)
(b) Phân tích và lọc lưu lượng mạng
(c) Giám sát file system (kiểm tra tính toàn vẹn, thuộc tính, truy cập của file) (d) Phân tích log
(e) Giámsát cấu hình mạng
(3) Khả năng ngăn chặn
(a) Phân tích mã: ngăn chặn thực thi mã độc
(b) Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặncác dịch vụ hoặc giao thức không được phép
(c) Giám sát file system: ngăn chặn việc truy cập,thay đổi file system
(4) Các khả năng bảo vệ khác: ngăn chặn truy cập đến các media, củng cố bảo mật cho host, giám sát trạng thái các tiến trình [1]…
removeable-Các sản phẩm đại diện : Tripware, OSSEC, BroIDS, ISS, Samhain, LML, Snort
Prelude-2.7.2 NIDS
Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt độngkhả nghi Thường được triển khai ở các biên mạng (Network Border)
Trang 29Hình 2.6.Mô hình triển khai Network- Base IDS [2].
Hệ thống NIDS thường được triển khai trong 1 đoạn / mạng con riêng phục
vụ cho mục đích quản trị hệ thống (Management Network), trong trường hợp không
có mạng quản trị riêng thì 1 mạng riêng ảo (VLAN) là cần thiết để bảo vệ các kếtnối giữa các hệ NIDS [2] Bên cạnh việc lựa chọn vị trí mạng phù hợp cho cácthành phần của hệ NIDS, lựa chọn vị trí phù hợp cho các Sensor cũng là 1 vấn đềquan trọng ảnh hưởng đến khả năng detection của hệ NIDS Trong hệ NIDS, cácSensor thường gặp ở 2 dạng là tích hợp phần cứng (appliance-based) và phần mềm(software-only)
Người ta thường sử dụng 2 kiểu triển khai sau:
Thẳng hàng (Inline)
Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát
đi xuyên qua nó giống như trong trường hợp của firewall.Thực tế là 1 số Sensorthẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS, một số khác là NIDS
Trang 30thuần túy Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thểdừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic )[2].
Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall vàcác thiết bị bảo mật khác: ranh giới giữa các mạng[2]
Bảng 2.1 So sánh giữa HIDS và NIDS
thể sử dụng
Yêu cầu kiến thức
Nguy cơ bị vô hiệu
Trang 31Trong thực tế, NIDS thường được sử dụng tại biên mạng nhằm phát hiện cácdấu hiệu tấn công và hạn chế các tấn công này ở mức network Đối với những máychủ hoặc máy client quan trọng, việc bổ sung HIDS cho các máy này là cần thiết đểtăng cường khả năng bảo mật khi kết hợp với các hệ NIDS trong cùng hệ thống.
Các sản phẩm đại diện : Snort, ISS, Juniper IDS, Tipping Point IDS,Trustware ipAgent, Cisco IPS, Reflex Security
Hình 2.7.Mô hình triển khai Sensor kiểu thẳng hàngSensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mậthơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho cácthiết bị này
Thụ động (Passive)
Một Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bảnsao của các lưu lượng trên mạng Thường được triển khai giám sát các vị trí quantrọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ nhưServer farm hoặc DMZ Sensor thụ động có thể giám sát lưu lượng mạng qua nhiềucách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer
Trang 32Hình 2.8.Mô hình triển khai Sensor kiểu thụ động
Hệ thống NIDS cung cấp các khả năng về bảo mật sau:
(1) Khả năng thu thập thông tin:
Trang 33(a) Hoạt động thăm dò và tấn công trên các lớp ứng dụng,vận chuyển vàmạng
(b) Các dịch vụ ứng dụng không mong đợi (Expected Application Services).c) Vi phạm chính sách (Policy Violations)
(4) Khả năng ngăn chặn:
(a) Kiểu thụ động: ngắt phiên TCP hiện tại
(b) Kiểu thẳng hàng: thực hiện tác vụ firewall thẳng hàng, điều tiết băngthông sử dụng, loại bỏ các nội dung gây hại
(c) Ngoài ra chức năng ngăn chặn còn có thể thay đổi cấu hình của 1 số thiết
bị bảo mật cũng như thực thi các ứng dụng thứ 3 hoặc các script
Lưu ý khi triển khai NIDS: khi triển khai các hệ NIDS, một trong nhữngđiểm cần lưu ý là phải triển khai các Sensor ở dạng ẩn (Stealth mode) Trong dạngnày, các interface của Sensor không được gán địa chỉ IP (trừ interface quản lý) đểtránh việc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của
kẻ tấn công
Điểm yếu của hệ thống NIDS chính là việc nó rất dễ bị ảnh hưởng bởi nhiềuloại tấn công liên quan đến khối lượng lưu lượng mạng lớn (large volume ofnetwork traffic) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳnghàng
2.7.3 Wireless IDS
Thường được triển khai trong tầm phủ sóng wireless của hệ thống nhằmgiám sát, phân tích các protocol wireess để nhận diện các hoạt động khả nghi Sựkhác biệt lớn nhất giữa NIDS và Wireless IDS nằm ở việc NIDS có thể giám sát tất
Trang 34cả các packet trong mạng thì WirelessIDS giám sát bằng cách lấy mẫu lưu lượngmạng.
Sensor trong hệ thống Wireless IDS sử dụng 1 kỹ thuật gọi là quét kênh(channel scanning), nghĩa là thường xuyên đổi kênh giám sát Để hỗ trợ cho việcgiám sát hiệu quả, các Sensor có thể được trang bị nhiều antenna thu phát công suấtcao
Wireless Sensor thường gặp dưới 3 hình thức:
Chuyên biệt (Dedicated) : thường ở dạng thụ động, được vận hànhdưới dạng giám sát tần số phát (radio frequency monitoring mode),được triển khai theo 2 dạng là cố định (thiết bị) và di động (phần mềmhoặc thiết bị)
Tích hợp trong Access Point
Tích hợp trong Wireless switch
Hình 2.9.Mô hình triển khai Wireless IDS
Trang 35Vấn đề vị trí triển khai Wireless IDS là 1 vấn đề cơ bản, khác biệt hoàn toàn
so với các loại Sensor trong các hệ thống NIDS hay HIDS do đặc thù của mạngWireless Thông thường các Wireless IDS thường được triển khai ở các khu vực mởcủa hệ thống mạng (khu vực khách, công cộng …), ở các vị trí có thể giám sát toàn
bộ vùng sóng của mạng Wireless, hay được triển khai để giám sát trên 1 số băng tần
và kênh xác định
Hệ thống Wireless IDS cung cấp các khả năng về bảo mật :
(1) Khả năng bảo mật
(2) Khả năng thu thập thông tin:
(a) nhận diện thiết bị Wireless
(b) nhận diện mạng Wireless
(3) Khả năng ghi log
(4) Khả năng nhận biết
(a) Nhận biết các mạng và thiết bị Wireless trái phép
(b) Nhận biết các thiết bị Wireless kém bảo mật
(c) Nhận biết các mẫu sử dụng bất thường
(d) Nhận biết các hoạt động của wireless scanner
(e) Nhận biết các tấn công từ chối dịch vụ DoS qua cơ chế phân tíchtrạng thái giao thức (Stateful protocol analysis) và nhận diện bất thường(Abnormaly detection)
(f) Nhận diện các tấn công đóng giả và Man-in-the-Middle
Trang 36(5) Khả năng ngăn chặn (ngắt kết nối wireless, tác động đến switch để chặnkết nối từ Access Point hoặc Station nghi ngờ là nguồn tấn công).
Tuy nhiên, cũng như mạng Wireless, Wireless IDS cũng rất nhạy cảm vớicác dạng tấn công từ chối dịch vụ cũng như các tấn công sử dụng kỹ thuật lẩn tránh(evasion techniques) Các sản phẩm đại diện: WIDZ, AirMagnet, AirDefense,Snort-Wireless…
2.7.4 Phân tích hành vi hệ thồng mạng (Network Behavior Analysis System)
Là 1 dạng NIDS được triển khai trong hệ thống mạng nhằm nhận biết cácthreats tạo ra các luồng traffic bất thường trong hệ thống (DDoS, malwares…).Thường được dùng để giám sát luồng traffic trong hệ thống nội bộ cũng như có thểgiám sát luồng traffic giữa hệ thống trong và các hệ thống ngoài
Trang 37Khác biệt giữa NBAS và NIDS ở chỗ NBAS phân tích lưu lượng mạng hoặccác thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng bất thường.
Hệ thống NBAS có thể được triển khai dưới 2 dạng là thụ động và thẳnghàng Với kiểu triển khai thụ động, được triển khai tại các vị trí cần giám sát nhưranh giới mạng, các đoạn mạng quan trọng Với kiểu thẳng hàng, tương tự nhưNIDS, có thể triển khai sát với firewall biên, thường là phía trước để giảm thiểu sốlượng các tấn công đến có thể làm quá tải firewall biên
2.7.5 Honeypot IDS
Internet
Firewall
Network IDS Engine Server
Client Application/File/Print Server Honeypot Server
Hình 2.11 Mô hình vị trí của Honeypot IDS
Là một dạng IDS dựa trên phương pháp “mồi” và “bẫy”, tạo ra các hệ thốnggiả lập tương tự các hệ thống chính nhằm chuyển hướng tấn công của hacker vào hệthống giả lập này từ đó quan sát dấu vết và truy vết tấn công [1],[2]
2.8 Những kỹ thuật chi tiết.
2.8.1 Các kỹ thuật xử lý dữ liệu:
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các
cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS[1]
Trang 38(1) Hệ thống Expert (Expert System)
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từtrước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều đượckết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví
dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T)[2]
(2) Phát hiện xâm nhập dựa trên luật (Rule-base intrustion detection)
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên nhữnghiểu biết về tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạngkiểm định thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bảnghi(record)
Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểmđịnh đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộckiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệukiểm định Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chunghợp với các cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụngtrong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris))
(3) Phân biệt ý định người dùng (User intension identification)
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằngmột tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quanđến chức năng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt độngđược điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ mộttập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sựkhông hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra
(4) Phân tích trạng thái phiên (State-transion Analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được
Trang 39trong sơ đồ trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hànhcảnh báo hay đáp trả theo các hành động đã được định trước.
(5) Phương pháp phân tích thống kê (Statistical analysis approach)
Đây là phương pháp thường được sử dụng Hành vi người dùng hay hệ thống(tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến như là:đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian,hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,…Chu kỳ nâng cấp có thể thay đổi
từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sửdụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay cả phươngpháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điểnhình Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng
lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.Vì vậy, một mô hình tinh
vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin ngườidùng ngắn hạn hoặc dài hạn Các thông tin này thường xuyên được nâng cấp để bắtkịp với thay đổi trong hành vi người dùng Các phương pháp thống kê thường được
sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thôngthường
2.8.2 Mô hình tiến trình cho hệ thống
Rất nhiều hệ thống phát hiện xâm nhập được mô tả như là tập hợp cấu thànhbởi 3 thành phần chức năng cơ bản là:
Nguồn thông tin – các nguồn thông tin khác nhau về các sự kiện
được sử dụng để xác định xem đã có vụ xâm nhập nào được thực hiện chưa.Các nguồn thông tin này có thể được lấy ra từ nhiều mức của hệ thống trong
đó thông dụng nhất là mức mạng, máy chủ (host) và việc theo dõi phần mềm
Phân tích – một phần của hệ thống phát hiện xâm nhập làm nhiệm vụ
tổ chức và lấy ra các thông tin có ý nghĩa từ nguồn thông tin, xác định xemnhững sự kiện nào là dấu hiệu của một vụ xâm nhập đang xảy ra hay đã xảy
Trang 40ra Phương pháp phân tích thông dụng là “misuse detection” (phát hiện việc sửdụng sai) và “anomaly detection” (phát hiện sự không bình thường).
2.8.3 Phân biệt giữa các phương pháp xâm nhập.
Các phương pháp phát hiện xâm nhập cung cấp bởi các hệ IDS khác nhauthường là khác nhau.Chúng là tiêu chí để xác định khả năng phát hiện của hệ thốngphát hiện xâm nhập đó Bằng việc sử dụng và đánh giá các hệ thống IDS khác nhau,
ta có thể xác định được mục đính chính, phương pháp chính của mỗi hệ thống pháthiện xâm nhập cụ thể
2.8.4 Kiến trúc hệ thống phát hiện xâm nhập.
Kiến trúc của một hệ thống phát hiện xâm nhập chỉ ra cách kết hợp các thànhphần chức năng Thành phần kiến trúc chính đó là Host, máy tính chạy phần mềmphát hiện xâm nhập, và Target, hệ thống mà IDS theo dõi để xác định các vấn đề vềbảo mật
Kiến trúc Host – Target cùng tồn tại trên một máy
Ban đầu khi mới ra đời, hầu hết các hệ IDS chạy trên máy tính mà chúng bảo
vệ Bởi thực tế là hầu hết các hệ thống này đều là mainframe, chi phí phải trả đểtriển khai một hệ IDS hoạt động trải trên nhiều hệ thống là quá lớn
Kiến trúc Host – Target tồn tại độc lập, riêng rẽ
Sự ra đời của máy trạm và máy tính cá nhân cho phép kiến trúc của các hệ