1. Trang chủ
  2. » Luận Văn - Báo Cáo

xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort

101 1,7K 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 101
Dung lượng 4,56 MB

Nội dung

xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của việt nam chưa được quan tâm và đầu tư đúng mức.

Trang 1

LỜI CẢM ƠN

Lời đầu tiên tôi xin cảm ơn chân thành và sâu sắc nhất đến Thầy

TS ĐINH ĐỨC ANH VŨ, Thầy đã dành rất nhiều thời gian hướng dẫn tôi

một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về luận văn này.

Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy,

Cô ở HỌC VIỆN BƯU CHÍNH VIỄN THÔNG đã truyền đạt nhiều kiến thức quý báu cho tôi trong suốt quá trình học tập tại đây

Xin gởi lời cám ơn đến Thầy trưởng khoa CNTT TS TRẦN CÔNG HÙNG,

TS TÂN HẠNH, TS.VÕ VĂN KHANG đã có những góp ý hết sức quý báu cho bản luận văn này

Xin cảm ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động viên trong suốt thời gian qua, một người bạn, đã góp ý rất nhiều cho luận văn

TP Hồ Chí Minh, tháng 6-2012

Học viên thực hiện luận văn ĐÀO ANH VŨ

Trang 2

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của

Thầy TS.ĐINH ĐỨC ANH VŨ Các kết quả nêu trong luận văn là hoàn toàn trung

thực và chưa được công bố trong bất kỳ một công trình nào khác

Học viên thực hiện luận văn

ĐÀO ANH VŨ

Trang 3

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

MỤC LỤC iii

DANH MỤC CÁC TỪ VIẾT TẮT vii

DANH MỤC CÁC HÌNH viii

DANH MỤC CÁC BẢNG xi

MỞ ĐẦU 12

CHƯƠNG 1: TỔNG QUAN 15

1.1 Giới thiệu 15

1.2 Mục tiêu nghiên cứu của luận văn 16

1.3 Giới thiệu các chương mục của luận văn 17

1.4 Những đóng góp của luận văn 18

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 19

2.1 Giới thiệu : 19

2.2 Một số khái niệm 19

2.2.1 IDS 19

2.2.2 Phát hiện xâm nhập 20

2.2.3 Network IDS 20

2.2.4 Host IDS 20

2.2.5 Signature 20

2.2.6 Alert 21

2.2.7 False Alarm 21

2.2.8 Sensor 21

2.3 Chức năng của IDS 21

2.4 Các phương pháp nhận biết tấn công 21

2.4.1 Nhận biết dựa vào dấu hiệu (Signature-base) 22

2.4.2 Nhận diện bất thường (Anomaly-base) 22

Trang 4

2.4.3 Phân tích trạng thái giao thức (Stateful protocol analysis) 22

2.5 Cơ sở hạ tầng IDS 23

2.6 Cấu trúc IDS 24

2.6.1 Các thành phần cơ bản 24

2.6.2 Cấu trúc IDS 25

2.7 Phân loại 26

2.7.1 HIDS 26

2.7.2 NIDS 28

2.7.3 Wireless IDS 33

2.7.4 Phân tích hành vi hệ thồng mạng (Network Behavior Analysis System) 36

2.7.5 Honeypot IDS 37

2.8 Những kỹ thuật chi tiết 37

2.8.1 Các kỹ thuật xử lý dữ liệu: 37

2.8.2 Mô hình tiến trình cho hệ thống 39

2.8.3 Phân biệt giữa các phương pháp xâm nhập 40

2.8.4 Kiến trúc hệ thống phát hiện xâm nhập 40

2.8.5 Mục tiêu của hệ thống phát hiện xâm nhập 41

2.8.6 Mô hình điều khiển 41

2.8.7 Timing 42

2.8.8 Các nguồn thông tin 42

2.8.9 Cơ chế phân tích của IDS 44

2.8.10 Các tùy chọn đáp ứng 45

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 47

3.1 Khái niệm 47

3.2 Nguyên lý hoạt động 48

3.2.1 Kiến trúc hệ thống IPS ngoài luồng 48

3.2.2 Các kiểu hệ thống IPS trong luồng 51

3.3 Công nghệ ngăn chặn xâm nhập của IPS 53

3.3.1 Signature-base 53

3.3.2 Anomaly-base IPS 56

3.3.3 Policy-base IPS 59

3.3.4 Protocol Analysis-base IPS 59

3.4 Mô hình IPS 60

3.4.1 Host-base IPS 60

3.4.2 Network-base IPS 60

3.5 Các kiểu IPS 61

3.5.1 Session sniping 61

Trang 5

3.5.2 Packet filtering 61

3.5.3 Packet scubbing 62

3.5.4 Ip blocking 62

3.5.5 Deception : 62

3.6 Rủi ro đối với hệ thống 64

3.7 Kết luận 64

CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM 65

4.1 Giới thiệu về phần mềm Snort 65

4.2 Thành phần của Snort 66

4.2.1 Packet Decoder (bộ phân giải mã gói) 67

4.2.2 Preprocessor (bộ phận tiền xử lý) 67

4.2.3 Detection Engine (bộ phận phát hiện) 67

4.3 Các chế độ hoạt động của Snort 68

4.3.1 Sniffer 68

4.3.2 Logger 69

4.3.3 NIDS 70

4.4 Kết luận 71

CHƯƠNG 5: GIỚI THIỆU SNORT RULE 72

5.1 Rule header 72

5.2 Rule Option 73

5.2.1 Các từ khóa lựa chọn liên quan đến nội dung (Content related) 73

5.2.2 Các từ khóa lựa chọn liên quan đến phiên làm việc (Session related) 74

5.2.3 Các từ khóa lựa chọn liên quan đến IP (ip related) 74

5.2.4 Các từ khóa lựa chọn liên quan đến TCP (TCP related) 75

5.2.5 Các từ khóa lựa chọn liên quan đến ICMP (ICMP related) 75

5.2.6 Snort Response Option keywords 76

5.2.7 Meta Option keyword 77

5.2.8 Các từ khóa lựa chọn khác 77

5.3 Kết luận 77

CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 78

6.1 Mô hình thực nghiệm cài đặt và cấu hình snort IDS 78

Trang 6

6.2 Cài đặt hệ thống 79

6.3 Viết một số rule cơ bản và Demo chống một số kiểu tấn công 86

6.3.1 Chống SQL injection cho web server 86

6.3.2 Chống Ping of Death (Một hình thức của Dos) 88

6.3.3 Chống Scan 89

6.4 Cập nhật rules tự động (Updating Rules Automatically) 90

6.5 Kết luận 96

CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 97

7.1 Kết luận 97

7.2 Hướng phát triển 97

TÀI LIỆU THAM KHẢO 99

Tiếng Việt 99

Tiếng Anh 99

WEBSITE THAM KHẢO 100

Trang 7

DANH MỤC CÁC TỪ VIẾT TẮT

Viết

VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam

NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống

mạng

IPS Intrusion prevention system Phòng chống xâm nhập hệ thống

HIDS Host Intrusion Detection System

ICMP Internet Control Message Protocol

PCRE Perl Compatible Regular Expressions

RAID Recent Advances in Intrusion

Detection

PERL Perl Programming Language

Trang 8

DANH MỤC CÁC HÌNH

Hình 0.1 Nhiệm vụ của một IDS 12

Hình 0.2 Biểu đồ thống kê hệ thống máy tính bị tấn công 13

Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet 15

Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011 16

Hình 2.1 Intrustion Detection system activities 23

Hình 2.2 Intrustion Detection system infrastructure 24

Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di chuyển giữa các thành phần của hệ thống 25

Hình 2.4 Các thành phần chính của 1 hệ IDS 26

Hình 2.5 Mô hình triển khai Host-based IDS agent 27

Hình 2.6 Mô hình triển khai Network- Base IDS 29

Hình 2.7 Mô hình triển khai Sensor kiểu thẳng hàng 31

Hình 2.8 Mô hình triển khai Sensor kiểu thụ động 32

Hình 2.9 Mô hình triển khai Wireless IDS 34

Hình 2.10 Mô hình triển khai trên NBAS 36

Hình 2.11 Mô hình vị trí của Honeypot IDS 37

Hình 2.12 Cơ chế phát hiện sự lạm dụng 44

Trang 9

Hình 2.13 Cơ chế phát hiện sự không bình thường 45

Hình 3.1 Mô hình IPS 47

Hình 3.2 Promicious mode 51

Hình 3.3 Inline mode 52

Hình 3.4 Signature-base 53

Hình 3.5 Anomaly-base 56

Hình 3.6 Policy-base 58

Hình 4.1 Các thành phần của snort 66

Hình 5.1 Cấu trúc một rule trong snort 72

Hình 6.1 Mô hình triển khai snort IDS 78

Hình 6.2 Quản lý snort bằng giao diện đồ họa 81

Hình 6.3 Quản lý rules trên giao diện đồ họa 81

Hình 6.4 Phát hiện xâm nhập trên Base giao diện web 83

Hình 6.5 Phát hiện có người Ping Trong mạng 84

Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa 84

Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa 85

Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa 85

Trang 10

Hình 6.9 Chống SQL injection cho web server 86

Hình 6.10 Phát hiện cảnh báo SQL injection 86

Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection 87

Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection 87

Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection 88

Hình 6.14 Chống Ping of Death ( DoS, DDoS ) 88

Hình 6.15 Tín hiệu cảnh báo tấn công ddos 89

Hình 6.16 Chống scanning port trong mạng lan 89

Hình 6.17 Chống Scan và Block IP 90

Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP 90

Hình 6.19 Đăng ký account Snort 92

Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort 92

Hình 6.21 Tạo mật mã truy cập oinkcode 93

Hình 6.22 Cập nhật rules tự động trong snort 95

Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công 96

Trang 11

DANH MỤC CÁC BẢNG

Bảng 2.1: So sánh giữa HIDS và NIDS 30

Bảng 5.1: Quy định các loại giao thức 74

Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP 75

Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP 75

Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP 76

Trang 12

MỞ ĐẦU

Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi chocon người Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từkhóa Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều tháchthức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập

Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết Phươngpháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗingày một nhiều

Theo mạng an toàn thông tin VSEC (The Vietnamese security network),70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bịhacker kiểm soát Điều này cho thấy chính sách về bảo mật của các hệ thống thôngtin của việt nam chưa được quan tâm và đầu tư đúng mức

Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâmnhập – IDS ngày càng trở nên phổ biến

Nhiệm vụ của những IDS này là :

Hình 0 Nhiệm vụ của một IDS

Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát hiện bất thường và tiếp cận dựa trên dấu hiệu

Interne

t

Trang 13

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùngquan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàn chothông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổchức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngàycàng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệthống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soátluồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ

cố định Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấncông mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống

Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gầnđây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75%các cuộc tấn công được thực hiện là ở lớp ứng dụng web) Trong đó hai kĩ thuật tấncông được các hacker sử dụng phổ biến là cross-site scripting và sql injection :

Hình1 Biểu đồ thống kê hệ thống máy tính bị tấn côngKiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hànhbằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cáchlừa người dùng nhấn vào những liên kết này Khi đó đoạn mã độc hại này sẽ đượcthực thi trên máy tính của nạn nhân Kỹ thuật thực hiện các cuộc tấn công kiểu nàykhông có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng vàserver (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc

Trang 14

không thẩm tra kĩ càng dữ liệu vào/ra ở phía server để từ chối phục vụ những URL

bị chèn thêm các mã độc hại Còn SQL Injection liên quan đến một kĩ thuật chèncác từ khoá, các lệnh của ngôn ngữ SQL (là ngôn ngữ dùng để truy vấn, thao táctrên một cơ sở dữ liệu quan hệ) vào dữ liệu đầu vào của các ứng dụng web để điềukhiển quá trình thực thi câu lệnh SQL ở server

Vì vậy, cần có một hệ thống phòng thủ thật vững chắc có thể đứng vững trước cáccuộc tấn công mạng ngày càng gia tăng về quy mô lẫn kỹ thuật Một hệ thống mạngngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo vàphòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công cónguy cơ làm tổn hại hệ thống mạng

Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lốivào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả cácthông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trướckhi truyền, ký trước khi truyền,

Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập tráiphép trên mạng (NIDS-Network Intrusion Detection System)

Đề tài : “xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS)

mô phỏng trên phần mềm snort”.

Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn cũngcòn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thờigian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này Rất mong sự góp

ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu

Trang 15

CHƯƠNG 1: TỔNG QUAN1.1 Giới thiệu

Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng07/2010 đã có hơn 440 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụhướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâumáy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh(hình 1.2) ; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơnbao giờ hết Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứunhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID(Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm

15-17/2010 [W2] (lần 14 tại Menlo Park, California, September 20-21/2011)

Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet.

Trang 16

Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011.

Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúpcác doanh nghiệp được bảo mật hơn Các nghiên cứu này cho thấy bảo mật, phòngchống tấn công, xâm nhập ở Việt Nam chưa cao Vì vậy, bảo mật hệ thống máy tính

ở Việt Nam cần được quan tâm nhiều hơn Những hệ thống bảo mật nên thiết kếtriển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấncông, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵnsàng, và bảo mật cho hệ thống mạng

1.2 Mục tiêu nghiên cứu của luận văn

Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòngchống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT.Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ lọc gói

ở tầng bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xâydựng một hệ thống phát xâm nhập mạng (IDS)

Trang 17

1.3 Giới thiệu các chương mục của luận văn

Chương 1: Tổng quan

Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu vànhững đóng góp của luận văn

Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng

Chương 2 trình bày các mô hình và phương pháp phát hiện tấn công, xâmnhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật pháthiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể Thiết kế các vị trí đặt

hệ thống phát hiện tấn công, xâm nhập Đồng thời chương này cũng trình bày các

kỹ thuật tấn công, xâm nhập

Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS)

Chương 3 trình bày phương pháp xây dựng những đặc trưng khái niệm, cũngnhư những thành phần của một IPS Chương này hết sức quan trọng, chính là cơ sở

để phòng chống xâm nhập mạng

Chương 4: Triển khai hệ thống phát hiện xâm nhập

Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở Snort, các thành phần của snort và các chế độ hoạt động của nó

Chương 5: Giới thiệu Snort rule

Chương 5 này giới thiệu cho chúng ta biết những thành phần của một ruletrong snort, từ đó dựa vào những thành phần này mà chúng ta có thể điều chỉnhhoặc viết lại những rule cho phù hợp với hệ thống đang chạy, thêm một kênh hữuích cho người quản trị mạng nắm bắt được những bất thường, tấn công, virus dạnghướng thời gian, diễn ra nhanh trên mạng của mình

Trang 18

Chương 6: Thực nghiệm và đánh giá.

Đưa ứng dụng vào thực nghiệm và đánh giá kết quả phát hiện tấn công, xâmnhập trong mạng LAN

Quản lý phần mềm Snort bằng giao diện đồ họa, đồng thời có thể xem tínhiệu cảnh báo thông qua giao diện web như: base, mail, tin nhắn sms qua điện thoại

di động Có thể xuất ra report ngay trên web chúng ta có thể xem theo giờ, ngày,tháng và in ra

Trong chương này snort còn cho chúng ta cập nhật các rules tự động trong hệthống khi VRT sourcefire cập nhật những lỗ hỏng trên internet thì hệ thống chúng tacũng được cập nhật những rules mới này cho toàn hệ thống

Chương 7: Kết luận và hướng phát triển

1.4 Những đóng góp của luận văn

chống xâm nhập mạng

kỹ thuật phòng chống xâm nhập trái phép trên mạng

Trang 19

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT

HIỆN TẤN CÔNG TRÊN MẠNG

Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công,xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuậtphát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host vàgiám sát ở mức độ network Đồng thời chương này cũng trình bày các kỹ thuật xử

lý dữ liệu

2.1 Giới thiệu :

Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức

từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của khônglực Hoa Kỳ [1] Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến,một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiêncứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển theo sựbùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi vàthực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisconhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDStên là Wheel [1]

Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm

có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệthống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,bảo mật Khi mà số vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngàycàng tăng, hệ thống phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơntrong nền tảng bảo mật của các tổ chức [2]

Trang 20

2.2 Một số khái niệm.

2.2.1 IDS.

Intrusion Detection System (IDS) là một hệ thống giám sát hoạt động trên hệthống mạng để tìm ra các dấu hiệu vi phạm các quy định bảo mật máy tính, chínhsách sử dụng và các tiêu chuẩn an toàn thông tin Các dấu hiệu này xuất phát từnhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép,người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1]

2.2.2 Phát hiện xâm nhập.

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệthống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâmnhập bất hợp pháp” Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đótrên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là mộtngười dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họchưa được cấp phát [1]

2.2.3 Network IDS

Network IDS (NIDS) là các hệ thống phát hiện tấn công, nó có thể bắt giữcác gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánhchúng với cơ sở dữ liệu các tín hiệu [1],[2]

2.2.4 Host IDS

Host IDS (HIDS) được cài đặt như là một tác nhân trên máy chủ Những hệthống phát hiện xâm nhập này có thể xem những tệp tin log của các trình ứng dụnghoặc của hệ thống để phát hiện những hành động xâm nhập[1], [2]

2.2.5 Signature

Là dấu hiệu tìm thấy trong các gói tin, được sử dụng để phát hiện ra mộtcuộc tấn công Ví dụ ta có thể tìm thấy các dấu hiệu trong IP hearder, hearder của

Trang 21

IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúng bị pháthiện ra [1].

2.2.6 Alert.

Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp.Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiềucách khác Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyêngia bảo mật có thể xem lại Thông tin mà IDS thu được sẽ lưu lại trong file để ngườiquản trị có thể theo dõi những gì đang xảy ra trong hệ thống mạng Chúng có thểđược lưu lại dưới dạng text hoặc dạng nhị phân [1]

2.2.7 False Alarm

Là những thông báo đúng về một dấu hiệu xâm nhập nhưng hành động sai[1]

2.2.8 Sensor

Cũng tương tự như các sensor trong các tài liệu kỹ thuật khác, sensor dùng

để bắt tín hiệu âm thanh, màu sắc, áp xuất thì sensor ở đây sẽ bắt các tín hiệu códấu hiệu của xâm nhập bất hợp pháp [1]

2.3 Chức năng của IDS

 Nhận diện các nguy cơ có thể xảy ra

 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ

 Nhận diện các hoạt động thăm dò hệ thống

 Nhận diện các chính sách yếu khuyết của chinh sách bảo mật

 Ngăn chặn vi phạm chính sách bảo mật

 Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát

 Xuất báo cáo [1]

Trang 22

2.4 Các phương pháp nhận biết tấn công

Các hệ thống IDS thường dùng nhiều phương pháp nhận biết khác nhau,riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện [1] Cóthể chia thành các phương pháp nhận biết chính sau:

2.4.1 Nhận biết dựa vào dấu hiệu (Signature-base).

Sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với cácdấu hiệu của các mối nguy hại đã biết Phương pháp này có hiệu quả với các mốinguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với cácmối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩn tránh Signature-basekhông thể theo vết và nhận diện trạng thái của các truyền thông phức tạp [1]

2.4.2 Nhận diện bất thường (Anomaly-base)

So sánh định nghĩa của những hoạt động bình thường và đối tượng quan sátnhằm xác định các độ lệch Một hệ IDS sử dụng phương pháp Anormaly-basedetection có các profiles đặc trưng cho các hành vi được coi là bình thường, đượcphát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong mộtkhoảng thời gian Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụngphương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với cácngưỡng định bởi profile tương ứng để phát hiện ra những bất thường [1], [2]

Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic Static

profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nênkhông chính xác, và cần phải được tái tạo định kỳ Dynamic profile được tự độngđiều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều nàycũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu( evasion techniques) Ưu điểm chính của phương pháp này là nó rất có hiệu quảtrong việc phát hiện ra các mối nguy hại chưa được biết đến

Trang 23

2.4.3 Phân tích trạng thái giao thức (Stateful protocol analysis)

Phân tích trạng thái protocol là quá trình so sánh các profile định trước củahoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đóxác định độ lệch Khác với phương pháp Abnomaly-base detection, phân tích trạngthái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đóquy định 1 protocol nên làm và không nên làm gì "Stateful" trong phân tích trạngthái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vậnchuyển, và các giao thức ứng dụng có trạng thái [1],[2]

Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạptrong việc phân tích và theo dõi nhiều phiên đồng thời Một vấn đề nghiêm trọng làphương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn côngkhi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của giao thức

Trang 24

của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập đượcliên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chínhcủa mỗi hệ thống IDS) để phát hiện các cuộc tấn công [1], [2].

Khi phát hiện có xâm nhập hệ thống IDS phát các cảnh báo đến người quảntrị về sự kiện này Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặcbởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiênlàm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụngcác cơ sở hạ tầng pháp lý v.v) – tùy thuộc vào chính sách an ninh của mỗi tổ chức

Giám sát và phân tích các hoạt động “Sensor” thường được dùng cho dạngNetwork-base IDS/IPS trong khi “Agent” thường được dùng cho dạngHost-baseIDS/IPS

Là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản

lý chúng Một số Management Server có thể thực hiện việc phân tích các thông tin

Trang 25

sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này

dù các Sensor / Agent đơn lẻ không thể nhận diện

2.6.2 Cấu trúc IDS

Sensor là yếu tố cốt lõi trong một hệ thống IDS, có trách nhiệm phát hiện cácxâm nhập nhờ những cơ cấu ra quyết định đối với sự xâm nhập Sensor nhận dữ liệuthô từ ba nguồn thông tin chính : Cơ sở dữ liệu của IDS, syslog và audit trail Cácthông tin này hỗ trợ cho quá trình ra quyết định sau này

Database (IDS knowledge Database)

Sensor (decision-making mechanism) Attack Response Module Database

(IDS configuration)

Protected Computer System

Audit Trails and Network Monitoring

Intrusion Detection System

Hình 2.3 Một ví dụ về hệ IDS Chiều rộng mũi tên tỷ lệ thuận với lượng thông

tin di chuyển giữa các thành phần của hệ thống

Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu một event generator Dựa vào các chính sách tạo sự kiện, sensor xác định chế độ lọc

Trang 26

-thông tin -thông báo sự kiện Các event generator (hệ điều hành, mạng, ứng dụng)tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sựkiện của hệ thống, hoặc các gói tin.

Information Collection Detection Response

Event Generator

Set of Events (Syslogs, System Status, Network Packets)

Information Collection Policy

Analyzer (Sensor) ResponseModule

Detection Policy

2.7 Phân loại

2.7.1 HIDS

Được triển khai trên từng host,thôngthường là 1 software hoặc 1 agent, mụctiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần nàynhằm nhận diện các hoạt động khả nghi Host-based IDSthường được triển khai trêncác host có tính chất quan trọng (public servers, sensitive data servers), hoặc 1 dịch

vụ quan trọng (trường hợp đặc biệt này được gọi là application-based IDS)[3]

Quá trình triển khai các agent HIDS thường đơn giản do chúng là một phầnmềm được cài đặt trực tiếp lên host Application-based agent thường được triển khaithẳng hàng ngay phía trước host mà chúng bảo vệ [3]

Trang 27

Hình 2.5.Mô hình triển khai Host-based IDS agent[3]

Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-basedIDS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances[2]

Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lênhost được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua

đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn

Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất địnhnên trong trường hợp này người ta sử dụng thiết bị Một lý do khác để sử dụng thiết

bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host

Hệ thống HIDS cung cấp khả năng bảo mật sau:

Trang 28

(1) Khả năng ghi log.

(2) Khả năng phát hiện

(a) Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sáthàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện)

(b) Phân tích và lọc lưu lượng mạng

(c) Giám sát file system (kiểm tra tính toàn vẹn, thuộc tính, truy cập của file) (d) Phân tích log

(e) Giámsát cấu hình mạng

(3) Khả năng ngăn chặn

(a) Phân tích mã: ngăn chặn thực thi mã độc

(b) Phân tích và lọc lưu lượng mạng: ngăn chặn truy cập, lưu mã độc, chặncác dịch vụ hoặc giao thức không được phép

(c) Giám sát file system: ngăn chặn việc truy cập,thay đổi file system

(4) Các khả năng bảo vệ khác: ngăn chặn truy cập đến các media, củng cố bảo mật cho host, giám sát trạng thái các tiến trình [1]…

removeable-Các sản phẩm đại diện : Tripware, OSSEC, BroIDS, ISS, Samhain, LML, Snort

Prelude-2.7.2 NIDS

Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong 1segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt độngkhả nghi Thường được triển khai ở các biên mạng (Network Border)

Trang 29

Hình 2.6.Mô hình triển khai Network- Base IDS [2].

Hệ thống NIDS thường được triển khai trong 1 đoạn / mạng con riêng phục

vụ cho mục đích quản trị hệ thống (Management Network), trong trường hợp không

có mạng quản trị riêng thì 1 mạng riêng ảo (VLAN) là cần thiết để bảo vệ các kếtnối giữa các hệ NIDS [2] Bên cạnh việc lựa chọn vị trí mạng phù hợp cho cácthành phần của hệ NIDS, lựa chọn vị trí phù hợp cho các Sensor cũng là 1 vấn đềquan trọng ảnh hưởng đến khả năng detection của hệ NIDS Trong hệ NIDS, cácSensor thường gặp ở 2 dạng là tích hợp phần cứng (appliance-based) và phần mềm(software-only)

Người ta thường sử dụng 2 kiểu triển khai sau:

Thẳng hàng (Inline)

Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát

đi xuyên qua nó giống như trong trường hợp của firewall.Thực tế là 1 số Sensorthẳng hàng được sử dụng như 1 loại lai giữa firewall và NIDS, một số khác là NIDS

Trang 30

thuần túy Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thểdừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic )[2].

Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall vàcác thiết bị bảo mật khác: ranh giới giữa các mạng[2]

Bảng 2.1 So sánh giữa HIDS và NIDS

thể sử dụng

Yêu cầu kiến thức

Nguy cơ bị vô hiệu

Trang 31

Trong thực tế, NIDS thường được sử dụng tại biên mạng nhằm phát hiện cácdấu hiệu tấn công và hạn chế các tấn công này ở mức network Đối với những máychủ hoặc máy client quan trọng, việc bổ sung HIDS cho các máy này là cần thiết đểtăng cường khả năng bảo mật khi kết hợp với các hệ NIDS trong cùng hệ thống.

Các sản phẩm đại diện : Snort, ISS, Juniper IDS, Tipping Point IDS,Trustware ipAgent, Cisco IPS, Reflex Security

Hình 2.7.Mô hình triển khai Sensor kiểu thẳng hàngSensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mậthơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho cácthiết bị này

Thụ động (Passive)

Một Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bảnsao của các lưu lượng trên mạng Thường được triển khai giám sát các vị trí quantrọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ nhưServer farm hoặc DMZ Sensor thụ động có thể giám sát lưu lượng mạng qua nhiềucách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer

Trang 32

Hình 2.8.Mô hình triển khai Sensor kiểu thụ động

Hệ thống NIDS cung cấp các khả năng về bảo mật sau:

(1) Khả năng thu thập thông tin:

Trang 33

(a) Hoạt động thăm dò và tấn công trên các lớp ứng dụng,vận chuyển vàmạng

(b) Các dịch vụ ứng dụng không mong đợi (Expected Application Services).c) Vi phạm chính sách (Policy Violations)

(4) Khả năng ngăn chặn:

(a) Kiểu thụ động: ngắt phiên TCP hiện tại

(b) Kiểu thẳng hàng: thực hiện tác vụ firewall thẳng hàng, điều tiết băngthông sử dụng, loại bỏ các nội dung gây hại

(c) Ngoài ra chức năng ngăn chặn còn có thể thay đổi cấu hình của 1 số thiết

bị bảo mật cũng như thực thi các ứng dụng thứ 3 hoặc các script

Lưu ý khi triển khai NIDS: khi triển khai các hệ NIDS, một trong nhữngđiểm cần lưu ý là phải triển khai các Sensor ở dạng ẩn (Stealth mode) Trong dạngnày, các interface của Sensor không được gán địa chỉ IP (trừ interface quản lý) đểtránh việc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của

kẻ tấn công

Điểm yếu của hệ thống NIDS chính là việc nó rất dễ bị ảnh hưởng bởi nhiềuloại tấn công liên quan đến khối lượng lưu lượng mạng lớn (large volume ofnetwork traffic) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳnghàng

2.7.3 Wireless IDS

Thường được triển khai trong tầm phủ sóng wireless của hệ thống nhằmgiám sát, phân tích các protocol wireess để nhận diện các hoạt động khả nghi Sựkhác biệt lớn nhất giữa NIDS và Wireless IDS nằm ở việc NIDS có thể giám sát tất

Trang 34

cả các packet trong mạng thì WirelessIDS giám sát bằng cách lấy mẫu lưu lượngmạng.

Sensor trong hệ thống Wireless IDS sử dụng 1 kỹ thuật gọi là quét kênh(channel scanning), nghĩa là thường xuyên đổi kênh giám sát Để hỗ trợ cho việcgiám sát hiệu quả, các Sensor có thể được trang bị nhiều antenna thu phát công suấtcao

Wireless Sensor thường gặp dưới 3 hình thức:

Chuyên biệt (Dedicated) : thường ở dạng thụ động, được vận hànhdưới dạng giám sát tần số phát (radio frequency monitoring mode),được triển khai theo 2 dạng là cố định (thiết bị) và di động (phần mềmhoặc thiết bị)

Tích hợp trong Access Point

Tích hợp trong Wireless switch

Hình 2.9.Mô hình triển khai Wireless IDS

Trang 35

Vấn đề vị trí triển khai Wireless IDS là 1 vấn đề cơ bản, khác biệt hoàn toàn

so với các loại Sensor trong các hệ thống NIDS hay HIDS do đặc thù của mạngWireless Thông thường các Wireless IDS thường được triển khai ở các khu vực mởcủa hệ thống mạng (khu vực khách, công cộng …), ở các vị trí có thể giám sát toàn

bộ vùng sóng của mạng Wireless, hay được triển khai để giám sát trên 1 số băng tần

và kênh xác định

Hệ thống Wireless IDS cung cấp các khả năng về bảo mật :

(1) Khả năng bảo mật

(2) Khả năng thu thập thông tin:

(a) nhận diện thiết bị Wireless

(b) nhận diện mạng Wireless

(3) Khả năng ghi log

(4) Khả năng nhận biết

(a) Nhận biết các mạng và thiết bị Wireless trái phép

(b) Nhận biết các thiết bị Wireless kém bảo mật

(c) Nhận biết các mẫu sử dụng bất thường

(d) Nhận biết các hoạt động của wireless scanner

(e) Nhận biết các tấn công từ chối dịch vụ DoS qua cơ chế phân tíchtrạng thái giao thức (Stateful protocol analysis) và nhận diện bất thường(Abnormaly detection)

(f) Nhận diện các tấn công đóng giả và Man-in-the-Middle

Trang 36

(5) Khả năng ngăn chặn (ngắt kết nối wireless, tác động đến switch để chặnkết nối từ Access Point hoặc Station nghi ngờ là nguồn tấn công).

Tuy nhiên, cũng như mạng Wireless, Wireless IDS cũng rất nhạy cảm vớicác dạng tấn công từ chối dịch vụ cũng như các tấn công sử dụng kỹ thuật lẩn tránh(evasion techniques) Các sản phẩm đại diện: WIDZ, AirMagnet, AirDefense,Snort-Wireless…

2.7.4 Phân tích hành vi hệ thồng mạng (Network Behavior Analysis System)

Là 1 dạng NIDS được triển khai trong hệ thống mạng nhằm nhận biết cácthreats tạo ra các luồng traffic bất thường trong hệ thống (DDoS, malwares…).Thường được dùng để giám sát luồng traffic trong hệ thống nội bộ cũng như có thểgiám sát luồng traffic giữa hệ thống trong và các hệ thống ngoài

Trang 37

Khác biệt giữa NBAS và NIDS ở chỗ NBAS phân tích lưu lượng mạng hoặccác thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng bất thường.

Hệ thống NBAS có thể được triển khai dưới 2 dạng là thụ động và thẳnghàng Với kiểu triển khai thụ động, được triển khai tại các vị trí cần giám sát nhưranh giới mạng, các đoạn mạng quan trọng Với kiểu thẳng hàng, tương tự nhưNIDS, có thể triển khai sát với firewall biên, thường là phía trước để giảm thiểu sốlượng các tấn công đến có thể làm quá tải firewall biên

2.7.5 Honeypot IDS

Internet

Firewall

Network IDS Engine Server

Client Application/File/Print Server Honeypot Server

Hình 2.11 Mô hình vị trí của Honeypot IDS

Là một dạng IDS dựa trên phương pháp “mồi” và “bẫy”, tạo ra các hệ thốnggiả lập tương tự các hệ thống chính nhằm chuyển hướng tấn công của hacker vào hệthống giả lập này từ đó quan sát dấu vết và truy vết tấn công [1],[2]

2.8 Những kỹ thuật chi tiết.

2.8.1 Các kỹ thuật xử lý dữ liệu:

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các

cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS[1]

Trang 38

(1) Hệ thống Expert (Expert System)

Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từtrước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều đượckết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else Lấy ví

dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T)[2]

(2) Phát hiện xâm nhập dựa trên luật (Rule-base intrustion detection)

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên nhữnghiểu biết về tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạngkiểm định thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bảnghi(record)

Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểmđịnh đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộckiểm định Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệukiểm định Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chunghợp với các cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụngtrong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris))

(3) Phân biệt ý định người dùng (User intension identification)

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằngmột tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quanđến chức năng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt độngđược điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ mộttập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sựkhông hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra

(4) Phân tích trạng thái phiên (State-transion Analysis)

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được

Trang 39

trong sơ đồ trạng thái phiên Nếu phát hiện được một tập phiên vi phạm sẽ tiến hànhcảnh báo hay đáp trả theo các hành động đã được định trước.

(5) Phương pháp phân tích thống kê (Statistical analysis approach)

Đây là phương pháp thường được sử dụng Hành vi người dùng hay hệ thống(tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến như là:đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian,hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,…Chu kỳ nâng cấp có thể thay đổi

từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sửdụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay cả phươngpháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điểnhình Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng

lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.Vì vậy, một mô hình tinh

vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin ngườidùng ngắn hạn hoặc dài hạn Các thông tin này thường xuyên được nâng cấp để bắtkịp với thay đổi trong hành vi người dùng Các phương pháp thống kê thường được

sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thôngthường

2.8.2 Mô hình tiến trình cho hệ thống

Rất nhiều hệ thống phát hiện xâm nhập được mô tả như là tập hợp cấu thànhbởi 3 thành phần chức năng cơ bản là:

Nguồn thông tin – các nguồn thông tin khác nhau về các sự kiện

được sử dụng để xác định xem đã có vụ xâm nhập nào được thực hiện chưa.Các nguồn thông tin này có thể được lấy ra từ nhiều mức của hệ thống trong

đó thông dụng nhất là mức mạng, máy chủ (host) và việc theo dõi phần mềm

Phân tích – một phần của hệ thống phát hiện xâm nhập làm nhiệm vụ

tổ chức và lấy ra các thông tin có ý nghĩa từ nguồn thông tin, xác định xemnhững sự kiện nào là dấu hiệu của một vụ xâm nhập đang xảy ra hay đã xảy

Trang 40

ra Phương pháp phân tích thông dụng là “misuse detection” (phát hiện việc sửdụng sai) và “anomaly detection” (phát hiện sự không bình thường).

2.8.3 Phân biệt giữa các phương pháp xâm nhập.

Các phương pháp phát hiện xâm nhập cung cấp bởi các hệ IDS khác nhauthường là khác nhau.Chúng là tiêu chí để xác định khả năng phát hiện của hệ thốngphát hiện xâm nhập đó Bằng việc sử dụng và đánh giá các hệ thống IDS khác nhau,

ta có thể xác định được mục đính chính, phương pháp chính của mỗi hệ thống pháthiện xâm nhập cụ thể

2.8.4 Kiến trúc hệ thống phát hiện xâm nhập.

Kiến trúc của một hệ thống phát hiện xâm nhập chỉ ra cách kết hợp các thànhphần chức năng Thành phần kiến trúc chính đó là Host, máy tính chạy phần mềmphát hiện xâm nhập, và Target, hệ thống mà IDS theo dõi để xác định các vấn đề vềbảo mật

Kiến trúc Host – Target cùng tồn tại trên một máy

Ban đầu khi mới ra đời, hầu hết các hệ IDS chạy trên máy tính mà chúng bảo

vệ Bởi thực tế là hầu hết các hệ thống này đều là mainframe, chi phí phải trả đểtriển khai một hệ IDS hoạt động trải trên nhiều hệ thống là quá lớn

Kiến trúc Host – Target tồn tại độc lập, riêng rẽ

Sự ra đời của máy trạm và máy tính cá nhân cho phép kiến trúc của các hệ

Ngày đăng: 04/08/2014, 01:43

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[8] Christopher Kruegel, Fredrik Valeur, Giovanni Vigna, “Computer security and Intrusion Detection”, “Alert Correlation”, Intrusion Detection and Correlation: Challenges and Solutions, Springer, 2005 Sách, tạp chí
Tiêu đề: Computer security and Intrusion Detection”, “Alert Correlation
[11] *Wenke Lee, **Salvatore J. Stolfo (2000), A Framework for Constructing Features and Models for Intrusion Detection Systems, *North Carolina State University, ** Columbia University Sách, tạp chí
Tiêu đề: A Framework for Constructing Features and Models for Intrusion Detection Systems
Tác giả: *Wenke Lee, **Salvatore J. Stolfo
Năm: 2000
[1] Chủ nhiệm đề tài TS. Trịnh Ngọc Minh (2003), Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam, Cơ quan quản lý: Sở Khoa học và Công nghệ; Cơ quan chủ quản: TT Phát triển công nghệ thông tin, ĐHQG.Tiếng Anh Khác
[2] Andrew Baker, Joel Esler, Raven Alder Snort IDS and IPS Toolkit (Jay Beale's Open Source Security) Khác
[3] Andrew R. Baker, Brian Caswell, Mike Poor. Snort 2.1 Intrusion Detection, 2nd Edition Khác
[4] Angela Orebaugh , Simon Biles , Jacob Babbin . Snort cookbook Khác
[9] Kerry J.Cox, Christopher Gerg, Managing Security with Snort and IDS Tools Khác
[10] Steve Suehring, Robert Ziegler, Linux Firewall, Third Edition Khác

HÌNH ẢNH LIÊN QUAN

Hình 0. Nhiệm vụ của một IDS - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 0. Nhiệm vụ của một IDS (Trang 9)
Hình  1.1. Tình hình phát triển số lượng máy tính trên Internet. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
nh 1.1. Tình hình phát triển số lượng máy tính trên Internet (Trang 12)
Hình  1.2. Malware mới xuất hiện mỗi tháng trong năm 2011. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
nh 1.2. Malware mới xuất hiện mỗi tháng trong năm 2011 (Trang 13)
Hình 2.1. Intrustion Detection system activities - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 2.1. Intrustion Detection system activities (Trang 20)
Hình 2.5. Mô hình triển khai Host-based IDS agent[3] - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 2.5. Mô hình triển khai Host-based IDS agent[3] (Trang 24)
Hình 2.6. Mô hình triển khai Network- Base IDS [2]. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 2.6. Mô hình triển khai Network- Base IDS [2] (Trang 26)
Bảng 2.1  So sánh giữa HIDS và NIDS - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Bảng 2.1 So sánh giữa HIDS và NIDS (Trang 27)
Hình 2.7. Mô hình triển khai Sensor kiểu thẳng hàng - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 2.7. Mô hình triển khai Sensor kiểu thẳng hàng (Trang 28)
Hình 2.8. Mô hình triển khai Sensor kiểu thụ động Hệ thống NIDS cung cấp các khả năng về bảo mật sau: - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 2.8. Mô hình triển khai Sensor kiểu thụ động Hệ thống NIDS cung cấp các khả năng về bảo mật sau: (Trang 29)
Hình 4.1 : Các thành phần của snort [1],[3] - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 4.1 Các thành phần của snort [1],[3] (Trang 63)
Bảng 5.3  Các từ khóa lựa chọn Itype liên quan đến ICMP - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Bảng 5.3 Các từ khóa lựa chọn Itype liên quan đến ICMP (Trang 72)
Bảng 5.4  Các từ khóa lựa chọn Icode liên quan đến ICMP - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Bảng 5.4 Các từ khóa lựa chọn Icode liên quan đến ICMP (Trang 73)
Hình 6.1 Mô hình triển khai snort IDS Mô hình gồm 4 máy: attacker, snortsam, webserver, mailserver. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.1 Mô hình triển khai snort IDS Mô hình gồm 4 máy: attacker, snortsam, webserver, mailserver (Trang 75)
Hình 6.2 Quản lý snort bằng giao diện đồ họa - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.2 Quản lý snort bằng giao diện đồ họa (Trang 78)
Hình 6.3 Quản lý rules trên giao diện đồ họa - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.3 Quản lý rules trên giao diện đồ họa (Trang 78)
Hình 6.4 Phát hiện xâm nhập trên Base giao diện web - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.4 Phát hiện xâm nhập trên Base giao diện web (Trang 80)
Hình 6.5 Phát hiện có người Ping Trong mạng - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.5 Phát hiện có người Ping Trong mạng (Trang 81)
Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa (Trang 81)
Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa (Trang 82)
Hình 6.8  Chi tiết tín hiệu của attacker giao diện đồ họa - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa (Trang 82)
Hình 6.9  Chống SQL injection cho web server o Rule đầu tiên: - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.9 Chống SQL injection cho web server o Rule đầu tiên: (Trang 83)
Hình 6.12 Tấn công lổ hỏng bộ lọc  SQL injection - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection (Trang 84)
Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc  SQL injection - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection (Trang 85)
Hình 6.14 Chống Ping of Death ( DoS, DDoS ) - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.14 Chống Ping of Death ( DoS, DDoS ) (Trang 86)
Hình 6.16 Chống scanning port trong mạng lan - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.16 Chống scanning port trong mạng lan (Trang 87)
Hình 6.17 Chống Scan block IP - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.17 Chống Scan block IP (Trang 87)
Hình 6.19: Đăng ký account Snort. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.19 Đăng ký account Snort (Trang 89)
Hình 6.20: Đăng nhập vào hệ thống Sourcefire Snort. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort (Trang 90)
Hình 6.22 Cập nhật rules tự động trong snort[13]. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.22 Cập nhật rules tự động trong snort[13] (Trang 93)
Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công[13]. - xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort
Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công[13] (Trang 94)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w