Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập. Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử dụng làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Mặc dù các phương pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay. Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà còn có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng dụng rộng rãi trong thực tiễn. CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG I. BẢO MẬT HỆ THỐNG 1. Khái niệm về bảo mật: Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: - Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. - Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. - Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. - Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. 2. Sự cần thiết của bảo mật: Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùng với việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn công trên Internet. Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt mà không cần lo lắng quá về việc tăng nguy cơ
Luận văn HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System) BỘ GIÁO DỤC & ĐÀO TẠO ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐỘC LẬP – TỰ DO – HẠNH PHÚC _____oOo_____ Khoa: Công nghệ thông tin Bộ môn: Mạng máy tính NHIỆM VỤ THỰC HIỆN ĐỀ TÀI CHUYÊN NGÀNH Họ và tên : Lê Thị An Hải MSSV : 09B1020158 Ngành : Mạng máy tính Lớp : 09HTHM2 1. Đầu đề đồ án tốt nghiệp : HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System) 2. Nhiệm vụ : …………………………………………………………………………………… . ……………………………………………………………………………………… …. …… ……………………………………………………………………………………… ………………………. 3. Ngày giao nhiệm vụ đồ án:…………………………………………………… 4. Ngày hoàn thành nhiệm vụ:……………………………………………… 5. Họ tên giáo viên hướng dẫn: . Nội dung và yêu cầu đồ án chuyên ngành đã thông qua. TP.HCM, ngày …… tháng …… năm 2007 CHỦ NHIỆM KHOA (Ký và ghi rõ họ tên) GIÁO VIÊN HƯỚNG DẪN CHÍNH (Ký và ghi rõ họ tên) PHẦN DÀNH CHO BỘ MÔN Người duyệt (chấm sơ bộ) : Đơn vị : Ngày bảo vệ : Điểm tổng quát : ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ KHOA CÔNG NGHỆ THÔNG TIN CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐỘC LẬP – TỰ DO – HẠNH PHÚC ____o0o____ NHẬN XÉT ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN ĐỀ TÀI: Sinh Viên: Chuyên ngành: Điểm bằng số: Điểm bằng chữ: Tp. Hồ Chí Minh, ngày tháng năm2010 NGƯỜI NHẬN XÉT (Ký tên và ghi rõ họ tên) LỜI CẢM ƠN Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn Mạng máy tính, khoa Công nghệ thông tin, trường Kỹ Thuật Công Nghệ Thành Phố Hồ Chí Minh đã tạo điều kiện cho em thực hiện đồ án chuyên ngành. Xin chân thành cảm ơn thầy giáo Nguyễn Hoàng Nam đã tận tình hướng dẫn, giúp đỡ em hoàn thành đồ án này. Cuối cùng, em xin bày tỏ lòng biết ơn đến gia đình và bạn bè đã giúp đỡ, động viên em rất nhiều trong suốt quá trình học tập và làm đồ án. Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc chắn đồ án này còn có nhiều thiếu sót. Em rất mong nhận được những ý kiến đóng góp quý báu từ thầy cô và các bạn. Tp.HCM, ngày…… tháng……năm 2010 LÊ THỊ AN HẢI Lớp 09HTHM2-ĐH KTCN Tp.HCM MỤC LỤC NHIỆM VỤ ĐỒ ÁN CHUYÊN NGÀNH…………………………………… 1 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN………………………………2 LỜI CẢM ƠN………………………………………………………………… .3 MỤC LỤC………………………………….……………………………………4 LỜI NÓI ĐẦU………………………………………………………………… 8 CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG… .………………….….9 I. BẢO MẬT HỆ THỐNG…………………………….…………………… .9 1. Khái niêm về bảo mật 9 2. Sự cần thiết của bảo mật 9 3. Những mối đe dọa .10 3.1. Mối đe dọa không có cấu trúc .10 3.2. Mối đe dọa có cấu trúc 10 3.3. Mối đe dọa từ bên ngoài .10 3.4. Mối đe dọa từ bên trong 11 4. Các phương thức tấn công (Attack methods) 11 4.1. Thăm dò 11 4.2. Truy nhập (Access) .12 4.3. Từ chối dịch vụ (Denial of Service) 14 II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS .15 1.Sự giới hạn của các biên pháp đối phó .15 2. Sự cần thiết của hệ thống phát hiện xâm nhập .16 CHƯƠNG II: SƠ LƯỢC VỀ HỆ THỐNG IDS 18 I. GIỚI THIỆU CƠ BẢN VỀ IDS 18 1. Định nghĩa .18 2. Chức năng .19 3. Yêu cầu hệ thống .19 4. Kiến trúc cơ bản của hệ thống .20 4.1. Cơ sở hạ tầng của IDS .20 4.2. Cấu trúc và kiến trúc của hệ thống 22 II. CƠ CHẾ HOẠT ĐỘNG………………………… ….……………………24 1. Phương pháp nhận diện………………………….……… ……………… 24 1.1. Nhận diện dựa vào dấu hiệu (Signature-base detection)…… … .………24 1.2. Nhận diện sự bất thường (Abnormaly-base detection)……… .………… 25 1.3. Phân tích trạng thái giao thức (Stateful protocol analysis)…………… ….25 2. Cơ chế bảo mật……………………………… .…………………………….26 2.1. Phát hiện tấn công………………………………………………………….26 2.2. Ngăn chặn tấn công……………………………………… ……………….27 2.3. Phòng tránh tấn công……………………………………… .…………… 28 3. Phản ứng…………………………………… .………… …………………29 III.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS… 30 1. Kỹ thuật xử lý dữ liệu……………………………………….……………….30 1.1. Hệ thống Expert (Expert systems)…………………………………………30 1.2. Phát hiện xâm nhập dựa trên luật (Rule-base intrusion detection)…… ….30 1.3. Phân biệt ý định người dùng (User intention identification)………………30 1.4. Phân tích trạng thái phiên (State-transition analysis)……………… …… 31 1.5. Phương pháp phân tích thống kê (Staticstical analysis approach)…… .….31 2. Các kiểu tấn công thông dụng………………… …………………….…….31 2.1. Denial of Service attack……………………………………………………31 2.2. Scanning and Probe……………………………………………… ……….32 2.3. Password attack……………………………………………… .………… 33 2.4. Privilege-grabbing…………………………………………… .………… 34 2.5. Hostile code insertion……………………………………… .…………….35 2.6. Cyber vandalism……………………………………………… ………….36 2.7. Proprietary data theft………………………………………………….……37 2.8. Fraul, waste, abuse………………………………………………… .…….37 2.9. Audit trail tampering…………………………………………… .……… 38 2.10. Security infrastructure attack…………………………………………… 39 3. Hạn chế của hệ thống……………………………… ……………… .……39 CHƯƠNG III: MÔ HÌNH HỆ THỐNG……………………… .………… .41 I. PHÂN LOẠI…………………… ………………………………………….41 1. Host Intrusion Detection System………………….………… .… ……… 41 2. Network Intrusion Detection System………………….…………………….43 3. Distributed Intrusion Detection System……………….… ……………… 46 4. So sánh HIDS và NIDS………………………………… …………………47 5. Phân biệt các hệ thống không phải là IDS…………….…………… .……50 II. MỘT SỐ DẠNG KHÁC CỦA IDS………………………… .………… .51 1. Wireless IDS……………….……………… .…………… ……………… 51 2. Network Behavior Analysis System… .………………………………….…53 3. Honeypot IDS……………………………………………………………… 54 CHƯƠNG IV: XÂY DỰNG MÔ HÌNH SẢN PHẨM…………….…… ….55 I. ĐẶT VẤN ĐỀ BÀI TOÁN……………………………….…………………55 II. GIỚI THIỆU CHUNG VỀ SNORT……………………………… .…….56 1. Các thành phần cơ bản của Snort…………………………………… .… 56 1.1. Packet Decoder…………………………………………………………….59 1.2. Preprocessors……………………… .…………………………………….59 1.3. Detection Engine………………………… .………………………………60 1.4. Logging and Alerting System………………………… ………………….62 1.5. Output Modules…………………………………………… .…………… 63 2. File cấu hình……………… ………………………………….……………64 2.1 Cấu hình các biến giá trị……………………………………… .………….65 2.2. Cấu hình bộ tiền xử lý……………………………………… .……………67 2.3. Cấu hình xuất kết quả………………………………………………… .….69 2.4. Các files kèm theo………………….………………………………………72 3. Tập luật (rulesets) trong Snort……………… …………………………….73 3.1. Cấu trúc của một rule………………………………………… ………… 75 3.2. Rule option…………………………………………………………………77 III. TRIỂN KHAI HỆ THỐNG IDS BẰNG SNORT……………… .…… 78 1. Những điểm cần lưu ý………………………………… ………… ………78 1.1. Các hệ thống và mạng phải giám sát………………………….……………79 1.2. Tạo các điểm kết nối……………………………………………… .…… 80 1.3. Lưu lượng mã hóa………………………………………………………….80 1.4. Bảo mật bộ cảm biến Snort…………………………………….………… 81 1.5. Chọn hệ điều hành…………………………………………….……………81 1.6. Cấu hình các giao diện………………………………………… …………82 2. Cài đặt và cấu hình căn bản…………………………………… ………….83 2.1. Các bước cài đặt và cấu hình Snort…………………………… ………….83 2.2. Các chế độ hoạt động………………………………………… .………….90 3. Cấu hình Snort nâng cao………………………… ……………………… 92 3.1. Cài đặt cơ sở dữ liệu cho Snort…………………………………………….92 3.2. Basic Analysis and Security Engine…………………………….…………99 3.3. Tự động cập nhập Snort rules với Oinkmaster………………….……… 105 4. Mô hình triển khai……………………… ……………………….……….111 4.1. Mô hình bài toán 1……………………………………………… .…… .111 4.2. Mô hình bài toán 2……………………………………………………… 116 ĐÁNH GIÁ KẾT QUẢ ĐỒ ÁN……………………………………… ……118 TÀI LIỆU THAM KHẢO……………………….………………… ………120 Luận văn HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System) LỜI NÓI ĐẦU Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập. Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử dụng làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Mặc dù các phương pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay. Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà còn có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng dụng rộng rãi trong thực tiễn. CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG I. BẢO MẬT HỆ THỐNG 1. Khái niệm về bảo mật: Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: - Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. - Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. - Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. - Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. 2. Sự cần thiết của bảo mật: Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùng với việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn công trên Internet. Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt mà không cần lo lắng quá về việc tăng nguy cơ bị tấn công. 3. Những mối đe dọa: 3.1 Mối đe dọa không có cấu trúc ( Untructured threat) Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn là một mối nguy hại lớn. 3.2. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Động cơ thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các cuộc tấn công này thường có mục đích từ trước. Các cuộc tấn công như vậy thường gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. 3.3. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. 3.4. Mối đe dọa từ bên trong ( Internal threat ) Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. 4. Các phương thức tấn công ( Attack methods): 4.1. Thăm dò (Reconnaisance) Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống, dịch vụ hay điểm yếu một cách trái phép. Nó cũng được biết như việc thu thập thông tin, và trong nhiều trường hợp là hành động xảy ra trước việc xâm nhập hay tấn công từ chối dịch vụ. Việc thăm dò thường được thực hiện bằng các công cụ hay câu lệnh có sẵn trên hệ điều hành. Ta có các bước cơ bản của việc thăm dò như sau: Bước 1: Ping quét để kiểm tra bản đồ IP. Bước 2: Sử dụng port scanner để kiểm tra dịch vụ và cổng mở trên IP đó, có nhiều công cụ như vậy, như Nmap, SATAN,… Bước 3: Truy vấn các cổng để xác định loại, phiên bản của ứng dụng, hệ điều hành. Bước 4: Xác định điểm yếu tồn tại trên hệ thống dựa trên các bước trên. Hình 1.1: Thăm dò hệ thống Một kẻ tấn công ban đầu thường rà quét bằng lệnh ping tới mục tiêu để xác định địa chỉ IP nào còn tồn tại, sau đó quét các cổng để xác định xem dịch vụ mạng hoặc mạng nào cổng nào đang mở. Từ những thông tin đó, kẻ tấn công truy vấn tới các port để xác định loại, version của ứng dụng và cả của hệ điều hành đang chạy. Từ những thông tin tìm được, kẻ tấn công có thể xác định những lỗ hổng có trên hệ thống để phá hoại. 4.2. Truy nhập (Access) Access là chỉ việc thao túng dữ liệu, truy nhập hệ thống hay leo thang đặc quyền trái phép. Truy nhập vào hệ thống là khả năng của kẻ xâm nhập để truy nhập vào thiết bị mà không có tài khoản hay mật khẩu. Việc xâm nhập đó thường được thực hiện bằng cách sử dụng các công cụ, đoạn mã hack nhằm tấn công vào điểm yếu của hệ thống hay ứng dụng. Trong một số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà không thực sự cần lấy trộm thông tin, đặc biệt khi động cơ của việc xâm nhập là do thách thức hay tò mò. Phương thức xâm nhập rất đa dạng. Phương thức đầu tiên là lấy mật mã của tài khoản.Tài khoản và mật mã cũng có thể lấy được bằng các phương pháp nghe trộm từ bước thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều thông tin. Khi đã lấy được tài khoản, kẻ tấn công có thể vào hệ thống như người dùng hợp pháp bình thường, và nếu tài khoản đó có đặc quyền lớn thì kẻ xâm nhập có thể tạo ra backdoor cho các lần xâm nhập sau. Hình 1.2: Man In The Middle attack Hình 1.3: Tấn công khai thác sự tin cậy. 4.3. Từ chối dịch vụ ( Denial of Service) Denial of service (DoS) là trạng thái khi kẻ tấn công vô hiệu hóa hay làm hỏng mạng, hệ thống máy tính, hay dịch vụ với mục tiêu từ chối cung cấp dịch vụ cho user dự định. Nó thường liên quan đến việc phá hoại hay làm chậm hệ thống để người dùng không thể sử dụng được. Trong hầu hết các trường hợp, việc tấn công chỉ cần thực hiện bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn công không cần quyền truy nhập vào hệ thống. Chỉ với lí do phá hoại, tấn công từ chối dịch vụ gây ra là rất lớn và đây là kiểu tấn công nguy hiểm nhất đặc biệt là cho các trang web thương mại. Hình 1.4: Mô hình DDoS attack . dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác… Hệ thống. ý đồ xấu”. 2. Sự cần thiết của hệ thống phát hiện xâm nhập: Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với