Suricata là một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở. Nó được phát triển bởi Open Information Security Foundation (OISF). Một phiên bản thử nghiệm được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiên được phát hành tiếp theo vào tháng 7 năm 2010. Sản phẩm này được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực này. Phiên bản mới nhất hiện nay là 4.0.4 được phát hành vào ngày 14/2/2018. Suricata là một công cụ đa luồng, cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng. Ngoài việc tăng hiệu quả phần cứng (với phần cứng và giao diện mạng giới hạn), sản phẩm này được xây dựng để tận dụng khả năng xử lý cao được cung cấp bởi chip CPU đa lõi mới nhất.
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN
Giảng viên: Vũ Thị Vân
Hà Nội,5/201
Trang 2NHẬN XÉT CỦA GIẢNG VIÊN
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Trang 3LỜI MỞ ĐẦU
Hiện nay, mạng Internet đã và đang trở nên phổ biến hơn trên toàn thếgiới Nó đem lại cho con người một cách tiếp cận thông tin hoàn toàn mới.Đồng thời, ngoài những lợi ích to lớn của mình, mạng internet cũng ẩn chứanhiều mối nguy hiểm tiềm tàng như: Lây nhiễm virus, sâu mạng, trojan,sniffer,… Với một hệ thống mạng máy tính, việc đảm bảo an toàn cho hệthống tránh khỏi các nguy cơ, hiểm họa đe dọa rất được chú trọng và đề cao.Với một mô hình như mạng của Học Viện, việc đảm bảo đó cần áp dụng, kếthợp nhiều biện pháp khác nhau Trong bản báo các này, chúng em xin trình
bày về đề tài: “Xây dựng hệ thống phát hiện và chống xâm nhập trái phép cho mạng cơ sở 1, dựa trên Suricata”.
Bản báo cáo có 3 phần:
Chương I Hệ thống phát hiện và ngăn chặn xâm nhập: Chương này
giới thiệu một cách tổng quan về các khái niệm, chức năng, phân loại,… liênquan đến hệ thống phát hiện và ngăn chặn xâm nhập
Chương II Tổng quan về Suricata: Chương này giới thiệu một cách
tổng quan về các khái niệm, chức năng, phân loại,… liên quan đến Suricata
Chương III Xây dựng hệ thống phát hiện và chống xâm nhập trái
phép Chương này triển khai xây dựng hệ thống phát hiện và chống xâm nhậptrái phép cho mạng cơ sở 1 dựa trên Suricata
Mặc dù đã cố gắng nhưng do kiến thức và thời gian còn nhiều hạn chếnên chắc chắn bản báo cáo còn nhiều thiếu sót, chúng em rất mong nhận đượcnhững ý kiến đóng góp của thầy cô và các bạn sinh viên để chúng em có thểtìm hiểu sâu hơn về vấn đề này
Chúng em xin chân thành cảm ơn!
Trang 4MỤC LỤC
LỜI MỞ ĐẦU 2
MỤC LỤC 3
CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 6
1.1 Các khái niệm về hệ thống phát hiện và ngăn chặn xâm nhập 6
1.1.1 Chức năng của hệ thống phát hiện và ngăn chặn xâm nhập 6
1.1.2 Các phương pháp phát hiện chung của IDPS 7
1.1.2.1 Phương pháp phát hiện dựa trên dấu hiệu 7
1.1.2.2 Phương pháp phát hiện dựa trên sự bất thường của mạng 8
1.1.2.3 Phương pháp phát hiện dựa trên phân tích trạng thái giao thức 9
1.1.3 Phân loại công nghệ IDPS 10
1.1.3.1 Hệ thống IDPS hoạt động dựa trên mạng (Network-based IDPS) 10
1.1.3.2 Hệ thống IDPS hoạt động dựa trên máy chủ (Host-IDPS) 11
1.1.3.3 Hệ thống IDPS hoạt động trên mạng không dây (Wireless-IDPS) 12
1.1.3.4 Hệ thống phân tích hành vi mạng (NBA) 12
1.1.4 Kiến trúc của hệ thống IDPS 13
1.1.5 Một số IDPS trên thị trường 15
CHƯƠNG II: TỔNG QUAN VỀ SURICATA 16
2.1 Giới thiệu Suricata 16
2.2 Các tính năng nổi bật 16
2.2.1 Đa luồng 16
2.2.2 Định danh giao thức 18
2.2.3 Định danh tệp tin, giá trị kiểm tra MD5, trích xuất tệp tin 18
2.3 Kiến trúc của Suricata 19
2.3.1 Mô-đun giải mã gói tin(Packet Decoder) 19
2.3.2 Mô-đun tiền xử lý (Preprocessors) 20
2.3.3 Mô-đun phát hiện (Detection engine) 21
2.3.4 Mô-đun log và cảnh báo (Alert generation) 22
2.4 Tập luật của Suricata 22
2.5 Các tham số trong phần Option của luật 24
2.6 Bộ phận phát hiện trong Suricata 25
2.7 Các chế độ hoạt động của Suricata 27
2.7.1 Chế độ trong luồng 27
Trang 52.7.2 Chế độ ngoài luồng 27
CHƯƠNG 3 – XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP 28
3.1 Mô hình triển khai 28
3.2 Đặt vấn đề 29
3.3 Mô hình thử nghiệm 30
Hình 3.3: Mô hình thử nghiệm 30
3.4 Quá trình thực hiện 30
KẾT LUẬN 37
TÀI LIỆU THAM KHẢO 38
Trang 6DANH MỤC HÌNH ẢNH
Hình 1.1 – Mô tả phát hiện xâm nhập dựa trên dấu hiệu 8
Hình 1.2 – Mô hình Network IDPS 10
Hình 1.3- Host-based IDS 11
Hình 1.4 – Kiến trúc hệ thống IDPS 13
Hình 1.5 – Vai trò của bộ cảm biến 14
Hình 2.1 – Xử lý đa luồng trong Suricata 17
Hình 2.2 - Kiến trúc Suricata 19
Hình 2.3 – Phương pháp phân nhóm phát hiện trong Suricata 26
Hình 2.4 – IPS Inline Mode 27
Hình 2.5 – IDS Outline Mode 27
Hình 3.1: Mô hình khảo sát mạng học viện 28
Hình 3.4: Tạo file ph-doc.rules và lưu lại trên rule-files 31
Hình 3.5: Tạo file ph-doc.rules và lưu lại trên rule-files(2) 31
Hình 3.6: Tạo file ph-doc.rules và lưu lại trên rule-files(3) 32
Hình 3.7: Nội dung tập luật được thiết lập 32
Hình 3.8: Áp file cấu hình lên giao diện eth0 32
Hình 3.9: Thông báo áp file cấu hình lên giao diện eth0 thành công 33
Hình 3.10: Mở file fast.log 33
Hình 3.11 : Giao diện website bị tấn công DDos 33
Hình 3.12: Câu lệnh khởi động tệp slowloris.pl 34
Hình 3.13: Giao diện của slowlori 34
Hình 3.14: Các socket liên tục được xây dựng để gửi resquet đến máy chủ web server 35
Hình 3.15: Kết quả tấn công DDos 35
Hình 3.16: Kết quả ghi lại trên file fast.log 36
Trang 7CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 1.1 Các khái niệm về hệ thống phát hiện và ngăn chặn xâm nhập
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệthống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu
“xâm nhập trái phép” Xâm nhập trái phép được định nghĩa là sự cố gắng tìmmọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy của
hệ thống, hay là sự cố gắng vượt qua các cơ chế an toàn của hệ thống máytính hay mạng đó Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào
đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể làmột người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyềnkhác mà họ chưa được cấp phát Như đã đề cập ở trên, hệ thống phát hiệnxâm nhập là hệ thống phần mềm hoặc phần cứng có khả năng tự động theodõi và phân tích để phát hiện ra các dấu hiệu xâm nhập
Ngăn chặn xâm nhập là quá trình thực hiện phát hiện xâm nhập và cốgắng để ngăn chặn các sự cố được phát hiện ra Hệ thống phát hiện và ngănchặn xâm nhập IDPS chủ yếu tập trung vào việc phát hiện sự cố đã và đangxảy ra, ghi lại thông tin về sự cố đó, cố gắng để ngăn chặn chúng, và lập báocáo với quản trị hệ thống mạng Ngoài ra, các tổ chức sử dụng IDPS cho cácmục đích khác, chẳng hạn như xác định các vấn đề với chính sách an ninh,ghi lại các mối đe dọa hiện tại và ngăn chặn các hành vi vi phạm chính sách
an ninh mạng IDPS là thành phần bổ sung cần thiết cho hạn tầng an ninhmạng của các tổ chức, công ty
1.1.1 Chức năng của hệ thống phát hiện và ngăn chặn xâm nhập
Có nhiều loại công nghệ IDPS, sự khác biệt chủ yếu là do các loại sựkiện mà chúng có thể phát hiện và các phương pháp mà chúng sử dụng để xácđịnh sự cố Ngoài việc giám sát và phân tích các sự kiện để xác định hoạtđộng không mong muốn, tất cả các loại công nghệ IDPS thường thực hiện cácchức năng sau:
- Ghi lại thông tin liên quan đến các sự kiện giám sát: Thông tinthường được ghi lại và lưu ngay trên thiết bị và cũng có thể đượcgửi đến hệ thống máy chủ giám sát an ninh tập trung (SIEM)
Trang 8- Thông báo cho nhân viên quản trị các sự kiện an ninh quantrọng: Các thông báo này được biết đến như một cảnh báo, thựchiện thông qua một số phương pháp như: e-mail, trang web, tinnhắn trên giao diện quản trị IDPS.
1.1.2 Các phương pháp phát hiện chung của IDPS
IDPS sử dụng nhiều phương pháp khác nhau để phát hiện các hànhđộng xâm nhập hệ thống trái phép Những phương pháp cơ bản như: Pháthiện dựa trên dấu hiệu, phát hiện dựa trên sự kiện bất thường Thông thườngIDS sử dụng nhiều phương pháp phát hiện xâm nhập và đôi khi cũng sử dụngphương pháp riêng lẻ hay kết hợp nhằm phát hiện chính xác các hành độngxâm nhập
1.1.2.1 Phương pháp phát hiện dựa trên dấu hiệu
Dấu hiệu là tập mẫu tương ứng với các đe dọa đã biết được thống kêcác đặc trưng và lưu lại trong cơ sở dữ liệu của hệ thống Hệ thống sẽ thu thậpcác thông tin liên quan và so sánh với các dấu hiệu tấn công được lưu trữtrong cơ sở dữ liệu để xác định xem hành động đó có nguy hiểm hay không
Ví dụ sau đây mô tả cách IDS phát hiện xâm nhập dựa vào dấu hiệu
- Người dùng nào đó đang cố gắng truy cập vào máy chủ thôngqua tài khoản Administrator từ dịch vụ truy cập từ xa (RemoteDesktop) của Windows Điều này vi phạm chính sách an toàncủa hệ thống
- Một bức thư điện tử có chủ đề là “bảng lương” với tệp tin đínhkèm là bangluong.exe Đây là một dấu hiệu của tệp mã độc
- Luồng dữ liệu mạng có rất nhiều gói tin ICMP với kích thướclớn
Trang 9Hình 1.1: Mô tả phát hiện xâm nhập dựa trên dấu hiệu
Phát hiện dựa vào dấu hiệu là một kỹ thuật đơn giản vì nó chỉ so sánhhành động hiện tại với danh sách dấu hiệu đã biết bằng cách so sánh các toán
tử Kỹ thuật này ít được dùng trong mô hình mạng lớn hay các giao thức ứngdụng bởi vì nó không thể theo dõi và hiểu được trạng thái của tất cả các thànhphần phức tạp trong hệ thống
1.1.2.2 Phương pháp phát hiện dựa trên sự bất thường của mạng
Phát hiện dựa vào sự bất thường là tiến trình so sánh các hành độngđược xem là bình thường với các sự kiện quan sát được để xác định độ chênhlệch dẫn tới sự bất thường IDPS sử dụng phương pháp phát hiện dựa vào sựbất thường có sẵn tập mẫu đã được trình bày các hành vi bình thường của cácđối tượng người dùng, máy tính, kết nối mạng hoặc ứng dụng Tập mẫu nàyđược xây dựng bằng cách giám sát và thu về các đặc trưng các hành động cụthể trong khoảng thời gian trước đó Hệ thống IDPS sau đó sử dụng phươngpháp thống kê để so sánh các đặc trưng của hành động hiện thời với cácngưỡng liên quan trong tập mẫu đã được xây dựng Tập mẫu này có thể xâydựng cho nhiều thuộc tính của các hành vi khác nhau, ví dụ như số lượng thưđiện tử được gửi bởi người dùng, số lần đăng nhập thất bại vào máy tính trong
Trang 10khoảng thời gian nhất định, mức độ sử dụng của vi xử lý thông thường đượcthống kê trong khoảng thời gian trước đó.
Thuận lợi chính của phương pháp phát hiện dựa vào sự bất thường làchúng rất hiệu quả trong việc phát hiện các hiểm họa chưa biết trước đó Ví
dụ như máy tính bị nhiễm loại mã độc mới và loại mã độc này tiêu thụ rấtnhiều tài nguyên của máy tính, gửi số lượng lớn thư điện tử, khởi tạo số lượnglớn các kết nối mạng ra bên ngoài và thực hiện các hành vi khác, những hành
vi này có sự khác biệt rất nhiều so với các hành vi đã được định nghĩa trongtập mẫu
Tập mẫu vềngưỡng được tạo ra trong khoảng thời gian trước đó,khoảng thời gian này cũng được gọi là thời gian huấn luyện Tập mẫu chophát hiện sự bất thường có thể ở dạng tĩnh hoặc động Khi đã được tạo ra, tậpmẫu tĩnh không thay đổi trong suốt quá trình hoạt động trừ trường hợp đặcbiệt IDPS trực tiếp tạo ra mẫu mới Mẫu hoạt động được điều chỉnh liên tụctrong quá trình quan sát sự kiện Bởi vì mạng và hệ thống thay đổi theo thờigian nên việc đo lường các giá trị ngưỡng tương ứng của các hành vi bìnhthường cũng thay đổi theo
1.1.2.3 Phương pháp phát hiện dựa trên phân tích trạng thái giao thức
Phân tích trạng thái giao thức là quá trình so sánh mẫu được xác địnhtrước về định nghĩa đã được chấp nhận chung của các giao thức hoạt độngthông thường với các sự kiện quan sát về trạng thái mỗi giao thức để xác định
độ lệch Với phương pháp phát hiện dựa vào sự bất thường thì dựa vào máytrạm hoặc hồ sơ cụ thể về mạng, đối với phân tích trạng thái giao thức dựavào hồ sơ phát triển của nhà cung cấp chỉ rõ giao thức cụ thể nên hoặc khôngnên sử dụng Từ “trạng thái” trong phân tích trạng thái nghĩa là IDPS có khảnăng hiểu và theo dõi trạng thái của các giao thức tầng mạng, vận chuyển,ứng dụng đã có khái niệm về trạng thái
Ví dụ, khi người dùng bắt đầu một phiên FTP, phiên này được khởi tạotrong trạng thái không xác thực Đối với người dùng không xác thực chỉ đượcthực hiện một số lệch trong trạng thái này như là chỉ được quyền xem, cungcấp tên đăng nhập và mật khẩu Một phần quan trọng trong khả năng hiểutrạng thái là ghép cặp giữa các yêu cầu và đáp ứng, vì thế khi mọi nỗ lực xácthực FTP xuất hiện, IDPS có thể xác định nếu xác thực thành công thông qua
Trang 11mã trạng thái thì người dùng đó được phép thực hiện mọi dòng lệch thông quagiao thức.
1.1.3 Phân loại công nghệ IDPS
1.1.3.1 Hệ thống IDPS hoạt động dựa trên mạng (Network-based IDPS)
Phần lớn các IDPS thương mại là ở dạng Network-based N-IDPSthường bao gồm một tập hợp các cảm biến được đặt tại các điểm khác nhautrong mạng
Hệ thống NIDPS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặttrên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm nhữnglưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấuhiệu Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gianthực Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tínhiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biệnpháp ngăn chặn những xâm nhập sâu hơn N-IDPS là tập nhiều bộ cảm biếnđược đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với mẫu
đã được định nghĩa để phát hiện đó là tấn công hay không
Hình 1.2: Mô hình Network IDPS
N-IDPS được đặt giữa kết nối hệ thống mạng bên trong và mạng bênngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứngriêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính Chủ yếudùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra hiện tượngnghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao
Trang 121.1.3.2 Hệ thống IDPS hoạt động dựa trên máy chủ (Host-IDPS)
H-IDPS sử dụng các chương trình phần mềm cài đặt trên một máy tính.H-IDPS hoạt động thu thập thông tin từ bên trong một hệ thống máy tính cánhân như quan sát tất cả các hoạt động của hệ thống, các tập tin nhật ký vànhững lưu lượng mạng thu thập được
Bằng cách cài đặt một phần mềm trên tất cả các máy tính, IDPS dựatrên máy chủ quan sát tất cả những hoạt động hệ thống, các tập tin log vànhững lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theodõi hệ điều hành, những cuộc gọi hệ thống, thông tin nhật ký (audit log) vànhững thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu dò củamạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máychủ mới có thể xác định xem cuộc tấn công có thành công hay không Thêmnữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà kẻ tấn công
đã làm trên máy chủ bị tấn công
Hình 1.3: Host-based IDS
Không phải tất cả các tấn công được thực hiện qua mạng Bằng cáchgiành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máytính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cầnphải tạo bất cứ lưu lượng mạng (network traffic) nào cả Hệ thống dựa trênmáy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công
Trang 13cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console),nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệIDPS thì hắn cóthể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cậpvật lý Một ưu điểm khác của IDPS dựa trên máy chủ là nó có thể ngăn chặncác kiểu tấn công dùng sự phân mảnh hoặc TTL Vì một máy tính phải nhận
và tái hợp các phân mảnh khi xử lí lưu lượng trên IDS dựa trên host có thểgiám sát chuyện này
HIDPS thường được cài đặt trên một máy tính nhất định Thay vì giámsát hoạt động của một phân vùng mạng HIDPS chỉ giám sát các hoạt độngtrên một máy tính HIDPS thường được đặt trên các máy tính xung yếu của tổchức, và các máy chủ trong vùng DMZ – thường là mục tiêu bị tấn công đầutiên Nhiệm vụ chính của HIDPS là giám sát các thay đổi trên hệ thống, baogồm:
1.1.3.4 Hệ thống phân tích hành vi mạng (NBA)
NBA kiểm tra lưu lượng mạng để xác định các mối đe dọa tạo ra cácluồng lưu lượng bất thường, chẳng hạn như tấn công từ chối dịch vụ (DDoS),một số hình thức của phần mềm độc hại (sâu, backdoor), và vi phạm chính
Trang 14sách (một hệ thống máy chủ cung cấp dịch vụ mạng tới hệ thống khác) Hệthống NBA thường được triển khai để giám sát các luồng lưu lượng mạng cục
bộ của một tổ chức, và cũng được triển khai theo dõi luồng lưu lượng giữacác mạng của tổ chức với mạng bên ngoài (ví dụ như Internet, mạng lưới cácđối tác kinh doanh)
1.1.4 Kiến trúc của hệ thống IDPS
Kiến trúc của hệ thống phát hiện và ngăn chặn xâm nhập được trìnhbày như hình dưới:
Hình 1.4: Kiến trúc hệ thống IDPS
Kiến trúc của hệ thống IDPS bao gồm các thành phần chính: Thànhphần thu thập gói tin (information collection), thành phần phân tích gói tin(dectection), thành phần phản ứng (respontion) nếu gói tin đó được phát hiện
là một tấn công của tin tặc Trong ba thành phần này thì thành phần phân tíchgói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyếtđịnh nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn về kiến trúccủa hệ thống phát hiện xâm nhập là như thế nào
Bộ phận phát hiện gói tin: Trong bộ phận phát hiện gói tin có một phầnquan trọng đó là bộ cảm biến
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo
sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để địnhnghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứngdụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là mộtbản ghi các sự kiện của hệ thống hoặc các gói mạng Số chính sách này cùngvới thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên
Trang 15ngoài Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện được truyềntải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện.Điều này cũng liên quan một chút nào đó đến các gói mạng.
Hình 1.5: Vai trò của bộ cảm biến
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệukhông tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vìvậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ
sở dữ liệu chính sách phát hiện trong mục này Ngoài ra còn có các thànhphần: dấu hiệu tấn công, hồ sơ hành vi thông thường, các tham số cần thiết (vídụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữa các tham số cấu hình, gồm
có các chế độ truyền thông với mô-đun đáp trả Bộ cảm biến cũng có cơ sở dữliệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra
từ nhiều hành động khác nhau)
IDS có thể được sắp đặt tập trung (ví dụ như tích hợp vào trong tườnglửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trên mộtmạng lớn, tất cả chúng đều truyền thông với nhau Nhiều hệ thống tinh vi đitheo nguyên lý cấu trúc một tác nhân, nơi các mô-đun nhỏ được tổ chức trênmột máy tính trong mạng được bảo vệ
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bêntrong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạophân tích bước đầu và thậm trí đảm bảo cả hành động đáp trả Mạng các bộcảm biến kết nối báo cáo đến máy chủ phân tích trung tâm là một trong nhữngthành phần quan trọng của IDS HIDS có thể sử dụng nhiều công cụ phân tích
Trang 16tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán Các vaitrò khác của cảm biến liên quan đến khả năng lưu động và tính roaming của
nó trong các vị trí vật lý Thêm vào đó, các cảm biến có thể đặc biệt dành choviệc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một thành phần quyếtđịnh khi nói đến trách nhiệm bảo vệ an toàn thông tin liên quan đến các kiểutấn công mới
1.1.5 Một số IDPS trên thị trường
Các sản phẩm phát hiện và ngăn chặn xâm nhập hoặc chỉ phát hiện xâmnhập trên thị trường hiện nay có cả sản phẩm miễn phí và sản phẩm thươngmại
Với sản phẩm IDPS thương mại có nhiều tính năng được tích hợp cókhả năng phân tích sâu hơn các gói tin, luồng thông tin, hành vi xâm nhập.Điển hình gồm có: CISCO PS 4240, NGIPS CISO, McAfee Network ThreatBehavior Analysis, IBM Proventia Network…
Với sản phẩm miễn phí có nhiều hạn chế về tính năng và được công bốdưới dạng sản phẩm phần mềm Sản phẩm nổi tiếng nhất được sử dụng rộngrãi trong học tập cũng như thực tế là Snort Được phát triển từ năm 1998 đếnnay Snort có bề dày lịch sử 18 năm Snort là sản phẩm mã nguồn mở, với kiếntrúc thiết kế theo kiểu mô-đun người dùng có thể tự tăng cường tính năng cho
hệ thống Snort bằng việc cài đặt hay viết thêm mới các mô-đun
Bản thân Snort chỉ là hệ thống phát hiện xâm nhập, để triển khai đượccông nghệ ngăn chặn xâm nhập thì phải kết hợp cả tường lửa để ngăn chặn
Ngoài sản phẩm Snort, những năm gần đây một sản phẩm phát hiện vàngăn chặn xâm nhập với tính năng nổi trội hơn Snort là Suricata Với HostIDS miễn phí trên thị trường hiện tại còn có thêm OSSEC
Trang 17CHƯƠNG II: TỔNG QUAN VỀ SURICATA 2.1 Giới thiệu Suricata
Suricata là một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mãnguồn mở Nó được phát triển bởi Open Information Security Foundation(OISF) Một phiên bản thử nghiệm được phát hành vào tháng 12 năm 2009,bản chuẩn đầu tiên được phát hành tiếp theo vào tháng 7 năm 2010 Sản phẩmnày được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có,nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực này.Phiên bản mới nhất hiện nay là 4.0.4 được phát hành vào ngày 14/2/2018
Suricata là một công cụ đa luồng, cung cấp tăng tốc độ và hiệu quảtrong việc phân tích lưu lượng mạng Ngoài việc tăng hiệu quả phần cứng(với phần cứng và giao diện mạng giới hạn), sản phẩm này được xây dựng đểtận dụng khả năng xử lý cao được cung cấp bởi chip CPU đa lõi mới nhất
Trang 18Hình 2.1: Xử lý đa luồng trong Suricata
Suricata khi chạy trên thiết bị có thành phần phần cứng được thiết lậpsẵn nó sẽ cân bằng luồng lưu lượng tới các bộ vi xử lý để xử lý luồng dữ liệu.Tính năng này cho phép tối ưu hóa phần cứng để đạt được tốc độc 10Gbpsthời gian thực mà không cần phải tác động vào tập luật
Thể hiện trong tệp tin cấu hình của Suricata như sau:
Trang 19Đoạn mã trên là thông tin cấu hìnhvề sự phân công công việc xử lý dữliệu trên các CPU Với ví dụ trên thì CPU thứ nhất (đánh số 0) thực hiện côngviệc nhận, công việc giải mã gói tin thực hiện bởi CPU thứ nhất và thứ hai ởchế độ cân bằng tải giữa hai CPU, công việc phân luồng gói tin cũng đượcthực hiện bởi CPU thứ nhất và thứ hai Công việc phát hiện tấn công đượcthực hiện trên tất cả các CPU.
2.2.2 Định danh giao thức
Suricata có khả năng tự động nhận dạng các đặc trưng của các giaothức phổ biến, từ đó giúp người viết luật phát hiện linh động hơn khi tạo raluật dựa trên lưu lượng của mạng hơn là đặc tính cổng của giao thức Điềunày làm giảm sự phức tạp của các luật trong quá trình viết và gia tăng sự pháthiện các dấu hiệu của mã độc và điều khiển lưu lượng dễ dàng hơn
2.2.3 Định danh tệp tin, giá trị kiểm tra MD5, trích xuất tệp tin
Suricata có thể định danh hàng nghìn loại tệp tin trong quá trình truyềnqua mạng mà nó giám sát Nếu muốn tìm hiểu sâu hơn một tệp tin nàođóngười quản trị có thể đánh dấu nó để trích xuất xuống máy tính dưới dạngsiêu dữ liệu được miêu tả trong hoàn cảnh chặn bắt Ngoài ra Suricata còn cókhả năng tính toán giá trị kiểm tra MD5 của tệp tin trong quá trình nó giánsát Tính năng này giúp hệ thống có thể kiểm tra tính toàn vẹn của tệp tin nào
đó bằng cách so sánh giá trị băm với danh sách bản băm MD5 cung cấp trước