: Ứng dụng truyền thông và An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Trang 1

Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa (firewall) nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống Hệ thống phát hiện xâm phạm (IDS) là một hệ thống gần đây được đông đảo những người liên quan đến bảo mật khá quan tâm, có những tính năng tốt hơn.

I.1 Khái niệm về IDS.

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là

một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

I.2 Lịch sử ra đời của IDS:

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về

Trang 2

hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.

I.3 Phân biệt những hệ thống không phải là IDS

Các thiết bị bảo mật dưới đây không phải là IDS:

- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiêm tra lưu lượng mạng.

- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật).

- Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả - Tường lửa (firewall)

- Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius…

Trang 3

Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo - Giám sát: lưu lượng mạng và các hoạt động khả nghi.

- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị Chức năng chính của IDS được cụ thể bởi các hành động như:

- Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống đã được cài đặt từ trước.

- Phân tích thống kê những luồng traffic không bình thường - Đánh giá và kiểm tra tính toàn vẹn của các file được xác định - Thống kê và phân tích các user và hệ thống đang hoạt động - Phân tích luồng traffic.

- Phân tích event log (ghi chú sự kiện).

Trang 4

III Kiến trúc của IDS

Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ cảm biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần cảnh báo (Alert Notification).

III.1 Trung tâm điều khiển (The Command Console)

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều khiển có thể được truy cập từ bất cứ nơi nào Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã hóa, và nó là một máy chuyên dụng.

III.2 Bộ cảm biến (Netword Sensor)

Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy chuyên dụng trên các đường mạng thiết yếu Bộ cảm biến có một vai trò quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng.

Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên bấ kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên hub, và có thể phát hiện ra các luồng traffic bất thường Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin đến chính xác địa chỉ cần gửi trên từng port Để giải quyết vấn đề này, một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng (expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta kết nối IDS vào port này Port này được gọi là Switched Port Analyzer (SPAN) port SPAN port cần được cấu hình bởi các chuyên gia bảo mật để nhân bản mọi luồng dữ liệu của switch

Trang 5

III.3 Bộ phân tích gói tin (The Network Tap)

Bộ phân tích gói tin là một thiết bị phần cứng được kết nối trên mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo khi phát hiện ra hành động xâm nhập.

III.4 Thành phần cảnh báo (Alert Notification)

Thành phần cảnh báo có chức năng gửi những cảnh báo tới người quản trị Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP.

III.5 Vị trí đặt IDS

Tùy vào quy mô doanh nghiệp và mục đích mà ta có thể thiết kế vị trị cũng như kiến trúc của IDS khác nhau.

Hình: Vị trí đặt IDS

Trang 6

IV Quy trình hoạt động của IDS

1 Một host tạo gói tin.

2 Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin (Bộ cảm biến được đặt ở vị trí sao cho có thể đọc được gói tin này).

3 Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap) so sánh gói tin với các tín hiệu được cài đặt trước Khi có dấu hiệu xâm nhập, một cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The Command Console).

4 Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người hay nhóm người được chỉ định từ trước để giải quyết.

5 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này 6 Cảnh báo được lưu lại.

7 Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.

Trang 7

Hình: Quy trình hoạt động của IDS

Trang 8

V Các hành vi bất thườngV.1 Các hành động tấn công

Các loại tấn công được phân thành hai loại như sau:

- Bị động (được trang bị để tăng mức truy cập làm cho có thể thâm nhập vào hệ thống mà không cần đến sự đồng ý của tài nguyên CNTT)

- Tích cực (các kết quả gây ra thay đổi trạng thái không hợp lệ của tài nguyên CNTT)

Dưới dạng mối quan hệ giữa nạn nhân và người xâm phạm, các tấn công được chia thành:

- Bên trong, những tấn công này đến từ chính các nhân viên của công ty, đối tác làm ăn hoặc khách hàng

- Bên ngoài, những tấn công đến từ bên ngoài, thường thông qua Internet

Các tấn công cũng được phân biệt bằng hạng mục nguồn, cụ thể là nguồn đã thực hiện từ các hệ thống bên trong (mạng nội bộ, Internet hoặc từ các nguồn quay số từ xa) Bây giờ chúng ta hãy xem xét đến các loại tấn công có thể bị phát hiện bởi công cụ IDS và xếp chúng vào một chuyên mục đặc biệt Các loại tấn công dưới đây có thể được phân biệt:

- Những tấn công này liên quan đến sự truy cập trái phép đến tài nguyên

- Việc bẻ khóa và sự vi phạm truy cập - Trojan horses

Trang 9

- Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh chặn thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống - Sự giả mạo

- Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP - Lấy dấu OS từ xa, ví dụ như việc kiểm tra phản ứng đối với các

gói cụ thể, các địa chỉ cổng, phản ứng của ứng dụng chuẩn, các tham số ngăn xếp IP,…

- Nghe gói tin mạng (một tấn công thụ động rất khó khăn phát hiện nhưng đôi khi vẫn có thể)

- Lấy cắp thông tin, ví dụ như trường hợp bị lộ thông tin về quyền sở hữu

- Lạm dụng tính xác thực; một loại hình tấn công bên trong, ví dụ: nghi ngờ sự truy cập của một người dùng xác thực có thuộc tính kỳ lạ (đến từ một địa chỉ không mong muốn)

- Các kết nối mạng trái phép

- Sử dụng tài nguyên CNTT cho các mục đích riêng, ví dụ như truy cập vào các trang có hoạt động không lành mạnh

- Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các quyền truy cập mức cao

- Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập)

o Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền quản trị viên hệ thống

Trang 10

o Thay đổi và xóa thông tin

o Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các số thẻ tín dụng đã bị mất cắp trên một máy tính của chính phủ

o Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ mạng (máy chủ)

- Từ chối dịch vụ (DoS)

o Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi một số lượng lớn các thông tin không giá trị để làm tắc nghẽn lưu lượng hạn chế dịch vụ

o Ping (Smurf) – một số lượng lớn các gói ICMP được gửi đến một địa chỉ quảng bá

o Gửi mail – làm lụt với hàng trăm hoặc hàng nghìn các message trong một thời điểm ngắn

o SYN – khởi tạo một số lượng lớn các yêu cầu TCP và không tiến hành bắt tay hoàn toàn như được yêu cầu đối với một giao thức

o Hạn chế dịch vụ phân tán; đến từ nhiều nguồn khác nhau - Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng của nó

o Tràn bộ đệm (ví dụ: “Ping of Death” – gửi một số lượng lớn ICMP (vượt quá 64KB))

o Tắt hệ thống từ xa

Trang 11

- Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể gây ra như đã nói ở phần trên

Cần phải nhớ rằng, hầu hết các tấn công không phải là một hành động đơn, mà nó thường gồm có một số các sự kiện riêng lẻ.

5.2 Dấu vết của các hành động tấn công

Để nhận ra các tấn công, chúng ta phải kiểm tra bất cứ các hành vi không bình thương nào của hệ thống Điều này có thể là cách hữu dụng trong việc phát hiện các tấn công thực Chúng ta hãy xem xét thêm về vấn các triệu chứng để có thể lần theo dấu vết của những kẻ xâm phạm

5.2.1 Sử dụng các lỗ hổng đã được biết đến

Trong hầu hết các trường hợp, việc cố gắng lợi dụng các lỗi trong hệ thống bảo mật của một tổ chức nào đó có thể bị coi như hành vi tấn công, đây cũng là triệu chứng chung nhất cho một sự xâm phạm Mặc dù vậy bản thân các tổ chức có thể phải có các biện pháp chống lại kẻ tấn công bằng cách sử dụng các công cụ hỗ trợ trong việc bảo vệ mạng –công cụ đó được gọi là bộ quét tình trạng file và bảo mật Chúng hoạt động nội bộ hoặc từ xa, tuy nhiên chúng cũng thường bị những kẻ xâm nhập nghiên cứu rất kỹ

Các công cụ này thường cũng là con dao hai lưỡi, có sẵn cho cả người dùng và kẻ tấn công Việc kiểm tra tính đúng đắn về cách sử dụng file bằng các bộ quét toàn vẹn và việc hiểu biết đến các bộ quét lỗ hổng là cần thiết để phát hiện những cuộc tấn công đang trong quá trình thực thi hoặc lần theo những hỏng hóc từ các tấn công thành công Từ những vấn đề đó nảy sinh ra các vấn đề công nghệ dưới đây:

 Sự phát hiện của bộ quét Công cụ kiểm tra tính toàn vẹn file hoạt động theo một cách có hệ thống để có thể sử dụng các kỹ thuật

Trang 12

mô hình hóa và các công cụ đặc biệt cho mục đích phát hiện, ví dụ: phần mềm anti-SATAN

 Một sự tương quan giữa việc quét và sử dụng là rất cần thiết – việc quét các lỗ hổng có thể cần phải sâu hơn sử dụng một tính năng dịch vụ, điều này nghĩa là nó có thể báo trước được những tấn công có thể xuất hiện trong tương lai

5.2.2 Hoạt động mạng khác thường có tính chất định kỳ

Một kẻ xâm phạm đang muốn tấn công một hệ thống thường khai thác các ứng dụng và tiến hành nhiều phương pháp thử Các hoạt động xâm phạm thường khác với hoạt động của người dùng đang làm việc với hệ thống Bất kỳ một công cụ kiểm tra thâm nhập đều có thể phân biệt các hoạt động khả nghi sau một ngưỡng Nếu vượt quá một ngưỡng nào đó đã được đặt trước thì sẽ có một cảnh báo xuất hiện và công bố cho bạn biết Đây là kỹ thuật thụ động cho phép phát hiện kẻ xâm nhập mà không cần phải tìm một chứng cứ rõ ràng mà chỉ cần qua việc kiểm tra định lượng

Phương pháp thụ động sử dụng trong việc phát hiện xâm nhập được điều khiển từ cơ sở dữ liệu về các dấu hiệu tấn công tái diễn đều đặn và được xem xét theo các khía cạnh dưới đây:

 Các ngưỡng lặp lại nhằm để giúp cho việc phân biệt hoạt động hợp lệ và nghi ngờ (để kích hoạt các báo cảnh) Các hoạt động mạng có thể được nhận dạng bằng sử dụng nhiều giá trị tham số được lấy từ (ví dụ) profile người dùng hoặc trạng thái Session

 Thời gian giữa những lần lặp là một tham số để xác định thời gian trôi qua giữa các sự kiện diễn ra liền kề nhau, ví dụ, một hoạt động bị nghi ngờ nếu xuất hiện trong khoảng 2 phút có đến 3 lần đăng nhập không thành công

Trang 13

 Xây dựng một cơ sở dữ liệu ứng với các dấu hiệu tấn công Một kẻ tấn công có thể có các hành động trung tính (hầu như xảy ra trong giai đoạn thăm dò) và điều đó có thể làm sai lệnh các thiết bị kỳ một sự không tương thích nào với các mẫu đã được đưa ra (gồm có các lỗi con người như việc xuất hiện lỗi in trong gói mạng) có thể là thông tin có giá trị để phát hiện ra dịch vụ đang bị nhắm đến bởi kẻ xâm nhập

Nếu hệ thống kiểm định sử dụng những tiện nghi, ví dụ như giữ chậm mail, thì chuỗi bản ghi của nó sẽ thể hiện thói quen thông thường hoặc có thể đoán trước Mặc dù vậy, nếu bản ghi chỉ thị rằng một quá trình đặc biệt nào đó đã cung cấp các lệnh không hợp lệ thì đây vẫn có thể là một triệu chứng của một sự kiện bình thường hoặc một sự giả mạo

Kiểm tra những tác động tấn công:

 Phát hiện tấn công để khôi phục lại được các lệnh hoặc câu trả lời dưới đây bằng việc khởi chạy chúng

 Phát hiện một số tấn công thất bại có thể thấy được giao thức cú pháp của những lần tấn công thành công trước đó

 Việc phát hiện các tấn công đang nghiên cứu để thích nghi nhằm bắt các lỗi liên quan đến cùng một đối tượng (dịch vụ, host) Sau một chu kỳ nào đó, các lỗi này sẽ ngừng

Trang 14

5.2.4 Mâu thuẫn trực tiếp trong lưu lượng

Bất cứ sự mâu thuẫn trực tiếp nào trong các gói hoặc session là một trong những triệu chứng tấn công tiềm ẩn Xem xét dữ liệu nguồn và địa điểm (trong nước hoặc nước ngoài) có thể nhận dạng trực tiếp về một gói tin

Luồng Session được nhận dạng trực tiếp ngay từ gói đầu tiên Mặc dù vậy, yêu cầu cho dịch vụ trong mạng nội bộ lại là một session đang tới và một quá trình kích hoạt một Web dựa vào dịch vụ từ một mạng nội bộ là một session gửi đi

Sự mâu thuẫn trực tiếp dưới đây có thể được xem như các dấu hiệu của một vụ tấn công:

 Các gói đến từ Internet và được nhận dạng bởi địa chỉ mạng nội bộ của chúng – yêu cầu dịch vụ đang tới từ bên ngoài, trong trường hợp đó các gói có địa chỉ nguồn bên trong của chúng Tình huống này có thể là dấu hiệu của một tấn công giả mạo IP bên ngoài Các vấn đề như vậy có thể được giải quyết tại các bộ định tuyến, chúng có thể so sánh địa chủ nguồn với vị trí đích Trong thực tế, số ít bộ định tuyến hỗ trợ tính năng bảo mật này bởi vì đây là lĩnh vực dành cho tường lửa

 Các gói sinh ra trong mạng nội bộ (gửi đi) và đã gửi đến mạng ở ngoài với một địa chỉ đích của nó – trường hợp ngược lại Kẻ xâm nhập thực hiện từ bên ngoài và nhắm vào một hệ thống ở ngoài

 Các gói có các cổng nguồn và đích không mong muốn – nếu cổng nguồn của một gói đang tới hoặc yêu cầu gửi đi không phù hợp với loại dịch vụ thì điều này sẽ thể hiện như một hành động xâm nhập (hoặc quét hệ thống) Ví dụ: yêu cầu Telnet Service trên cổng 100 trong môi trường có thể xảy ra thì một dịch vụ như vậy vẫn không thể

Trang 15

được hỗ trợ (nếu có) Sự mâu thuẫn trực tiếp hầu như đều có thể được phát hiện bằng tường lửa để gạt bỏ lại các gói không hợp lệ Mặc dù vậy, các tường lửa không phải lúc nào cũng được ưu tiên cho hệ thống phát hiện xâm phạm

5.2.5 Các thuộc tính không mong muốn

Các trường hợp thường xảy ra nhất là ở những nơi phải xử lý một số lượng lớn các thuộc tính của gói hoặc các yêu cầu cụ thể đối với dịch vụ Chúng ta hoàn toàn có thể định nghĩa mẫu thuộc tính mong đợi Nếu các thuộc tính gặp phải không phù hợp với mẫu này thì nó có thể là một hành động xâm phạm.

 Các thuộc tính thời gian và lịch biểu – trong môi trường nào đó, hành vi mạng cụ thể có thể xảy ra một cách thường xuyên tại một thời điểm nào đó trong ngày Nếu hành vi thông thường này bị phá vỡ thì trường hợp này cần phải được kiểm tra Ví dụ, chúng tôi sử dụng một công ty, nơi mà việc vận chuyển được tiến hành vào chiều thứ sáu hàng tuânà Bằng cách đó, dữ liệu số trao đổi trong các phiên giao dịch đang làm việc tại thời điểm đó hoặc vào ngày hôm đó được xem như các hành động bình thường Tuy nhiên nếu thứ sáu là ngày nghỉ mà vẫn xuất hiện việc truyền tải dữ liệu thì vấn đề này cần phải kiểm tra

 Thuộc tính tài nguyên hệ thống Các xâm phạm nào đó thường liên làm ảnh hưởng xấu cho một số các thuộc tính hệ thống Việc bẻ khóa bằng cách thử lặp đi lặp lại password nhiều lần thường liên quan đến sự sử dụng phần lớn hiệu suất CPU giống như các tấn công DoS với các dịch vụ hệ thống Sử dụng nhiều tài nguyên hệ thống (bộ vi xử lý, bộ nhớ, ổ đĩa, các tiến trình hệ thống, các dịch vụ và kết nối mạng) đặc biệt là những thời điểm không bìng thường rất có thể là một dấu hiệu

Trang 16

 Với các gói có các thiết lập TCP phúc đáp không mong đợi Nếu có một tập ACK-flag thông qua một gói và không có SYN-packet (gói đồng bộ) trước được gửi thì cũng có thể là một trường hợp tấn công (hoặc quét dịch vụ) Tình huống như vậy có thể cũng là trường hợp bị hỏng gói, sự cố mạng đối với các phần mềm chứ không nhất thiết là một tấn công

 Dịch vụ trộn lẫn các thuộc tính Thông thường chúng ta có thể định nghĩa một tập hợp chuẩn các dịch vụ vào ra để cung cấp cho một người dùng cụ thể Ví dụ: nếu người dùng đang trong chuyến đi công tác của họ, anh ta muốn sử dụng mail và các tùy chọn truyền tải file Bất kỳ những cố gắng nào liên quan đến tài khoản của anh ta thông qua Telnet để truy cập vào các cổng đều có thể là những tấn công

Cũng có một khái niệm tổng quát hơn so với sự trộn lẫn dịch vụ, cụ thể là người dùng và các profile dịch vụ giúp đỡ trong việc phân biệt các thuộc tính điển hình và các thuộc tính không mong muốn Một file dấu hiệu giữ một số các dịch vụ chung của một người dùng cụ thể cũng có thể lưu thông tin bổ sung đa thuộc tính Các thông tin này bao gồm giờ làm việc liên quan đến hệ thống của người dùng, vị trí của máy trạm làm việc (vị trí địa lý, địa chỉ IP), cường độ sử dụng tài nguyên, khoảng thời gian session điển hình bởi các dịch vụ đơn lẻ

5.2.6 Các vấn đề không được giải thích

Một kẻ xâm phạm dấu mặt có thể thiết kế các hành động nguy hiểm, các hành động này thường sẽ gây ra những vấn đề kỳ cục trong hành vi của một hệ thống Việc kiểm tra các ảnh hưởng như vậy thường khó khăn bởi vì vị trí của chúng rất khó có thể phát hiện Dưới đây là một số ví dụng của nó:

Trang 17

 Các vấn đề không mong muốn với phần cứng hoặc phần mềm hệ thống, ví dụ máy chủ chạy chậm, một số tiện ích không hoạt động, những lần khởi động lại hệ thống không mong muốn, thay đổi các thiết lập đồng hồ hệ thống

 Các vấn đề tài nguyên hệ thống: tràn file hệ thống; sự sử dụng hiệu suất CPU không cách không bình thường

 Các thông báo kỳ cục từ các tiện ích hệ thống, các tiện ích hệ thống không hoạt động hoặc bị phá hủy Những triệu chứng như vậy luôn phải nghi ngờ

 Các vấn đề hiệu suất hệ thống (các bộ định tuyến hoặc các dịch vụ hệ thống có thời gian đáp ứng máy chủ quá lâu)

 Hành vi người dùng không mong muốn, ví dụ: truy cập không mong muốn vào tài nguyên hệ thống

 Hành vi kiểm định không mong muốn Các bản ghi kiểm định thu nhỏ kích thước (trừ khi được cố ý bởi quản trị viên hệ thống).

VI Phân loại IDS

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:

Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.

Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công.

Trang 18

Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.

6.1 Network - based IDS (NIDS)

6.1.1 Mô hình thiết kế Network – based IDS

Hình: Mô hình Netword – based IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi

Trang 19

những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.

Các hệ thống xâm nhập mạng điển hình là: Cisco Secure IDS (tên cũ là NetRanger), Hogwash, Dragon, E-Trust IDS.

6.1.2 Lợi thế của Network – based IDS

- Quản lý được cả một network segment (gồm nhiều host) - "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) - Độc lập với OS

6.1.3 Hạn chế của Network – based IDS

Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion.

Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

Trang 20

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.

Không cho biết việc attack có thành công hay không.

Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.

6.1.4 Phân loại mô hình thiết kế Network – based IDS

NIDS có hai mô hình căn bản là: Mô hình truyền thống (traditional) và Mô hình phân tán (distributed).

Mô hình truyền thống (Traditional NIDS)

Mô hình truyền thống sử dụng bộ cảm biến trong hệ thống mạng Bộ cảm biến là một máy tính được cấu hình chạy phần mềm IDS và thường

Trang 21

đứng một mình Hơn nữa, mỗi máy tính này có card mạng và được cài đặt phần mềm có thể chạy được chế độ promiscuous để có thể bắt được tất cả các luồng traffic trên mạng Gói tin được đưa trực tiếp vào bộ phát hiện (detection engine), và được phân tích tại đây Sau đó, thông báo sẽ được gửi đến Trung tâm điều khiển (The Command Console), và Trung tâm điều khiển sẽ gửi phản hồi lại host.

Hình: Mô hình truyền thống (Traditional NIDS)

Mô hình phân tán (Distributed NIDS)

Khác với Mô hình truyền thống, ở Mô hình phân tán, dữ liệu sau khi phân tích tại host, sẽ được so sánh với các signature, và nếu như có dấu hiệu của hành vi bất thường, phản hồi sẽ được tạo ngay tại host mà không cần qua Trung tâm điều khiển (The Command Console) Host chỉ gửi cảnh báo đến Trung tâm điều khiển, và Trung tâm điều khiển sẽ lưu trữ cảnh báo và gửi thông báo đến người quản trị.

Trang 22

Hình: Mô hình phân tán (Distributed NIDS)