Hệ thống phát hiện xâm nhập ids

Hệ thống phát hiện xâm nhập ids

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN NGÀNH

HỆ THỐNG PHÁT HIỆN XÂMNHẬP IDS

GVHD: Lư Huệ ThuSVTH: Ngô Chánh Tính-107102245Huỳnh Hoàng Tuấn-107102235

TPHCM, Tháng 11 Năm 2010

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP

I. Những mối đe dọa về bảo mật

1 Mối đe dọa không có Cấu Trúc (Untructured threat)2 Mối đe dọa có Cấu Trúc (Structured threat)

3 Mối đe dọa từ Bên Ngoài (External threat)4 Mối đe dọa từ Bên Trong (Internal threat)II Khái niệm về bảo mật

1 Khái Niệm

2 Kiến Trúc Về Bảo Mật

III Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng ChốngA Các Phương Pháp Xâm Nhập Hệ Thống

1 Phương thức ăn cắp thống tin bằng Packet Sniffers

2. Phương thức tấn công mật khẩu Password attack3 Phương thức tấn công bằng Mail Relay

B Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập

1 Phương thức ăn cắp thống tin bằng Packet Sniffers2 Phương thức tấn công mật khẩu Password attack3 Phương thức tấn công bằng Mail Relay

9 Phương thức tấn công Port redirection

10. Phương thức tấn Virus và Trojan Horse

IV Sự Cần Thiết Của IDS

1 Sự giới hạn của các biện pháp đối phó

2 Những cố gắng trong việc hạn chế xâm nhập trái phép

CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDSI Tổng Quan Về IDS

A Giới Thiệu Về IDS

1 Khái niệm “Phát hiện xâm nhập”

2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)3 Phân biệt những hệ thống không phải là IDS

B Lợi Ích Của IDS:

1 IDS (Intrusion Detection System)

2 IPS (Phát hiện và ngăn chặn xâm nhập)2.1 Nguyên lý hoạt động của hệ thống2.2 Các kiểu hệ thống IPS

C Chức Năng của IDSD Phân Loại

1 Network-Based IDSs.

2 Lợi thế của Network-Based IDSs.3 Hạn chế của Network-Based IDSs.4 Host Based IDS (HIDS).

5 Lợi Thế của HIDS.6 Hạn chế của HIDS.7 DIDS.

E Kiến Trúc Của IDS.

1 Các nhiệm vụ thực hiện.

2 Kiến trúc của hệ thống phát hiện xâm nhập IDS.

II Phương Thức Thực Hiện.

1 Misuse – based system2 Anomaly – based system

III Phân loại các dấu hiệu

1 Phát hiện dấu hiệu không bình thường

2 Các mẫu hành vi thông thường- phát hiện bất thường3 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu4 Tương quan các mẫu tham số

IV.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS

1.Denial of Service attack (Tấn công từ chối dịch vụ)2.Scanning và Probe (Quét và thăm dò)

3.Password attack (Tấn công vào mật mã)4.Privilege-grabbing (Chiếm đặc quyền)

5.Hostile code insertion (Cài đặt mã nguy hiểm)

6.Cyber vandalism (Hành động phá hoại trên máy móc)7.Proprietary data theft (Ăn trộm dữ liệu quan trọng)8.Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng)9.Audit trail tampering (Can thiệp vào biên bản)

10 Security infrastructure attack (Tấn công hạ tầng bảo mật)

I. Giới thiệu về Snort IDS

1.Giới Thiệu

2.Các thành phần của Snort3.Tập luật (rulesets) trong Snort

II Triển Khai IDS

1 Mô hình2 Thực hiện

I.Kết luận

II.Hướng phát triển

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂMNHẬP

Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người Việc họctập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thànhnhững hành động thường ngày của mọi người Khả năng kết nối trên toàn thế giới đangmang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khólường đe dọa tới mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gâyảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịchvụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái chongười sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng vàđược quan tâm đến trong mọi thời điểm.

Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góplớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngănchặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữliệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virusmới nhất Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơncùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mànhững phương pháp bảo mật truyền thống không chống được Những điều đó dẫn đếnyêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mậttruyền thống.

Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khảnăng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệthống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống Nó đã đượcnghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọngtrong các chính sách bảo mật Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâmnhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thựctế Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốnthời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiềutrang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện củacác hệ thống ở Việt Nam hiện nay.

Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiêncứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò làphương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn cóthể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thểứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịchvụ cho người dùng.

I.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT

1 Mối đe dọa không có cấu trúc ( Untructured threat)

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tảichúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng có những ngườithích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ Hầuhết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn côngchỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) haynhững người có trình độ vừa phải Hầu hết các cuộc tấn công đó vì sở thích cá nhân,nhưng cũng có nhiều cuộc tấn công có ý đồ xấu Những trường hợp đó có ảnh hưởngxấu đến hệ thống và hình ảnh của công ty.

Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn cóthể phá hoại hoạt động của công ty và là một mối nguy hại lớn Đôi khi chỉ cần chạymột đoạn mã là có thể phá hủy chức năng mạng của công ty Một Script Kiddies có thểkhông nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mụcđích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộngcủa hệ thống Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dùkhông có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống.

2 Mối đe dọa có cấu trúc ( Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Không nhưScript Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnhsửa các công cụ hiện tại cũng như tạo ra các công cụ mới Những kẻ tấn công này hoạtđộng độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạpnhằm xâm nhập vào mục tiêu.

Động cơ của các cuộc tấn công này thì có rất nhiều Một số yếu tố thường thấy có thể vìtiền, hoạt động chính trị, tức giận hay báo thù Các tổ chức tội phạm, các đối thủ cạnhtranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn côngdạng structured threat Các cuộc tấn công này thường có mục đích từ trước, như để lấyđược mã nguồn của đối thủ cạnh tranh Cho dù động cơ là gì, thì các cuộc tấn công nhưvậy có thể gây hậu quả nghiêm trọng cho hệ thống Một cuộc tấn công structured thànhcông có thể gây nên sự phá hủy cho toàn hệ thống.

3 Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không có một quyền nào tronghệ thống Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện cáccuộc tấn công như vậy

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat Bằngcách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công nàyxuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏnhiều tiền và thời gian để ngăn ngừa.

4 Mối đe dọa từ bên trong ( Internal threat )

Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn côngđược thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng củabạn Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trongmạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cậpmạng và dữ liệu bí mật của công ty Hầu hết các công ty chỉ có các tường lửa ở đườngbiên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyềntruy cập server để quy định cho sự bảo mật bên trong Quyền truy cập server thườngbảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng.Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quaymặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảovệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet Khi vành đai của mạngđược bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn.Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện cònlại thường là rất đơn giản.

Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡcủa người bên trong hệ thống Trong trường hợp đó, kẻ tấn công trở thành structuredinternal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tàinguyên quan trọng của công ty Structured internel threat là kiểu tấn công nguy hiểmnhất cho mọi hệ thống.

II.KHÁI NIỆM VỀ BẢO MẬT1 Khái Niệm

Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các kháiniệm về bảo mật Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộctấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cầnthiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống.

 Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tàinguyên của hệ thống.

 Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi nhữngnhóm không được phép truy nhập Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệutruyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.

 Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngănsự thay đổi dữ liệu trái phép Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lạithông điệp đã được truyền.

 Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhómđược phép Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵnsàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.

III.Các phương pháp xâm nhập hệ thống và phòng chốngA.Các phương pháp xâm nhập hệ thống:

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng(trên một collision domain) Sniffer thường được dùng cho troubleshooting network hoặc đểphân tích traffic Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text(telnet, FTP, SMTP, POP3, ) nên sniffer cũng là một công cụ cho hacker để bắt các thôngtin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần kháccủa mạng.

2 Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute-force attack,chương trình Trojan Horse, IP spoofing, và packet sniffer Mặc dù dùng packet sniffervà IP spoofing có thể lấy được user account và password, như hacker lại thường sửdụng brute-force để lấy user account hơn.

Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork

3.Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình không chuẩn hoặcUsername/ password của user sử dụng mail bị lộ Hacker có thể lợi dụng email serverđể gửi mail gây ngập mạng , phá hoại hệ thống email khác Ngoài ra với hình thức gắnthêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúcvới khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấncông D.o.S vào một mục tiêu nào đó.

5.Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng Một vídụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạngcủa công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leasedline đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên củacông ty khách hàng Tấn công dạng này được thực hiện nhờ một packet sniffer.

6.Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng khimột hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tinvề mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiện bởi các côngcụ như DNS queries, ping sweep, hay port scan.

7.Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối vớimạng Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy vớihệ thống bên trong firewall Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lầntheo quan hệ đó để tấn công vào bên trong firewall.

8.Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị độtnhập đi qua firewall Ví dụ, một firewall có 3 inerface, một host ở outside có thể truynhập được một host trên DMZ, nhưng không thể vào được host ở inside Host ở DMZcó thể vào được host ở inside, cũng như outside Nếu hacker chọc thủng được host trênDMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outsideđến host inside.

9.Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trong nhữngcách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail,HTTP, hay FTP.

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những portcho qua bởi firewall Ví dụ các hacker tấn công Web server bằng cách sử dụng TCPport 80, mail server bằng TCP port 25.

10.Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựathành Trojan (Trojan horse) Virus là một phần mềm có hại, được đính kèm vào mộtchương trình thực thi khác để thực hiện một chức năng phá hại nào đó Trojan horse thìhoạt động khác hơn Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy mộtgame đơn giản ở máy workstation Trong khi người dùng đang mãi mê chơi game,Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book Khi user khácnhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail cótrong address book của user đó

B Các phương pháp phát hiện và ngăn ngừa xâm nhập:

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nộibộ, các kết nối RAS hoặc phát sinh trong WAN.

Ta có thể cấm packet sniffer bằng một số cách như sau: Authentication

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs) Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng.Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn.

 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trongmạng.

Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng.Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhậpvào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến Kỹ thuật nàykhông làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầmảnh hưởng của nó.

 Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trênmạng.

 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa Khi đó,nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.Cisco dùng giao thức IPSec để mã hoá dữ liệu.

2 Phương thức tấn công mật khẩu Password attack

Phương pháp giảm thiểu tấn công password: Giới han số lần login sai

 Đặt password dài

 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không antoàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa

3.Phương thức tấn công bằng Mail Relay

Phương pháp giảm thiểu :

 Giới hạn dung lương Mail box

 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật choSMTP server, đặt password cho SMTP

 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.

5.Phương thức tấn công Man-in-the-middle attack

Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra Nếu cáchacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.

6.Phương thức tấn công để thăm dò mạng

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy Ví dụ ta cóthể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khócho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.

7.Phương thức tấn công Trust exploitation

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vàomạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nàocủa mạng.

8.Phương thức tấn công Port redirection

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server HIDS cóthể giúp phát hiện được các chường trình lạ hoạt động trên server đó.

9.Phương thức tấn công lớp ứng dụng

Một số phương cách để hạn chế tấn công lớp ứng dụng: Lưu lại log file, và thường xuên phân tích log file Luôn cập nhật các patch cho OS và các ứng dụng Dùng IDS, có 2 loại IDS:

 HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấncông lên server đó.

 NISD: xem xét tất cả các packet trên mạng (collision domain) Khi nóthấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thểphát cảnh báo, hay cắt session đó.

Các IDS phát hiện các tấn công bằng cách dùng các signature Signature của một tấncông là một profile về loại tấn công đó Khi IDS phát hiện thấy traffic giống như mộtsignature nào đó, nó sẽ phát cảnh báo.

10.Phương thức tấn Virus và Trojan Horse

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôncập nhật chương trình chống virus mới.

IV SỰ CẦN THIẾT CỦA IDS

1 Sự giới hạn của các biện pháp đối phó

Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Các công cụđó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệthống vẫn có nguy cơ bị tấn công cao.

Firewall bảo vệ hệ thống

Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internetbên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai Nó hạn chếviệc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi rocho hệ thống Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể.Tuy nhiên Firewall cũng có những điểm yếu sau:

 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, vàkhông thể chống lại sự đe dọa từ trong hệ thống.

 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thểcho phép việc thăm dò điểm yếu.

 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều nàycũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.

 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truynhập một cách tin cậy và loại bỏ được cơ chế firewall.

 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặckhông an toàn gia nhập hoặc rời khỏi hệ thống.

 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.

Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc truyềnthông đầu cuối các dữ liệu quan trọng Nhóm mã hóa với việc xác thực khóa công khaivà khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối, sự tin cậyvà toàn vẹn dữ liệu.

Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy

Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xácthực Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý, kể cả nhữnghành động của người dùng PKI có vai trò như khung làm việc chung cho việc quản lývà xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an toàn cho dữ liệu Nó cũngtự động xử lý để xác nhận và chứng thực người dùng hay ứng dụng PKI cho phép ứngdụng ngăn cản các hành động có hại, tuy nhiên hiện tại việc triển khai sử dụng chỉ mớibắt đầu (chỉ có các dự án thí điểm và một số dự án có quy mô lớn áp dụng) vì những lýdo sau:

 Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống chứngchỉ không đồng nhất.

 Có quá ít ứng dụng có sử dụng chứng chỉ.

Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúngkhông phát hiện được cuộc tấn công đang tiến hành Phát hiện xâm nhập trái phép đượcđịnh nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đíchxác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.

2 Những cố gắng trong việc hạn chế xâm nhập trái phép

Trong những năm 80, khi nền thương nghiệp và truyền thông dựa trên mạng quy mô

lớn vẫn còn trong thời kỳ đầu, một câu hỏi đã được đặt ra: “Làm sao có thể biết chúng

ta an toàn với sự dùng sai, và làm sao để theo dõi được khi ta bị tấn công?” Ta nhận

thấy cách tốt nhất để phát hiện xâm nhập trái phép là tạo ra log hay biên bản kiểm tra

(audit trail) với mọi hành động có liên quan đến bảo mật Ngày nay, hầu hết các hệ điềuhành, ứng dụng và thiết bị mạng đều tạo ra một số dạng biên bản kiểm tra Tư tưởng cơbản là nhà quản trị có thể xem lại chúng để tìm những sự kiện đáng nghi Trong khi đótrong thực tế, quá trình xử lý thủ công đó không thể ứng dụng được với quy mô lớn, sứcngười có hạn không thể kiểm tra lại được tất cả các log để tìm điểm nghi vấn Ví dụ nhưvào năm 1984, hệ thống Clyde Digital phát triển một sản phẩm là AUDIT, có nhiệm vụtự động tìm trong audit trai OpenVMS để tìm sự kiện nghi vấn Vào năm 1987, một dựán được tài trợ bởi chính phủ Mỹ tên là IDES tại Stanford Research Institute thực hiệnđọc audit trail và tạo ra khuôn mẫu những hành động thông thường, sau đó gửi thôngbáo về những hành động lệch so với khuôn mẫu đó Trong suốt những năm đầu củathập kỷ 90, cố gắng phát hiện xâm nhập trái phép tập trung vào việc phân tích các sựkiện có trong audit trail.

Tuy nhiên, hầu hết các công ty không thể sử dụng được phương pháp phân tích lognày vì hai lý do chính Thứ nhất là công cụ đó khá nặng, phụ thuộc vào khả năng hiểuloại tấn công và điểm yếu của người dùng Với sự tăng trưởng của số người dùng, hệđiều hành, ứng dụng, cơ sở dữ liệu cũng tăng theo với kích cỡ của file audit trail làmchúng tốn bộ nhớ và dẫn đến lỗi từ chối dịch vụ Do đó, các tổ chức nhận ra rằng thaotác viên của họ thường xóa hay vô hiệu hóa audit trail nhằm làm giảm giá thành hệthống và duy trì đủ hiệu suất Nửa cuối những năm 90 chứng kiến sự mở rộng của cácứng dụng tạo audit trail mới để quản lý, như router, network traffic monitor, và firewall.Tuy hệ phương pháp IDS đã phát triển trong suốt 20 năm, câu hỏi vẫn được đặt ra:

“Làm sao có thể biết chúng ta an toàn với sự dùng sai, và làm sao để theo dõi và phảnứng khi ta bị tấn công?”

Scanner, các công cụ thăm dò và đánh giá chính sách rất hiệu quả trong việc tìm lỗhổng bảo mật trước khi bị tấn công Chúng có thể làm được điều đó dựa trên việc tìmkhiếm khuyết, cấu hình sai có thể can thiệp được của hệ điều hành và ứng dụng, nhữnghệ thống, cấu hình ứng dụng, thao tác trái ngược với chính sách chung Các công cụ nàycó thể trả lời được câu hỏi “độ an toàn của môi trường trước sự dùng sai”, chúng cungcấp phương thức tốt nhất để đánh giá độ an toàn của hệ điều hành và ứng dụng Chúngcó thể cung cấp sự đánh giá chính sách một cách tự động dựa trên yêu cầu bảo mật củacông ty như phiên bản của phần mềm, độ dài mật mã,… Tuy nhiên, hầu hết các scannerchỉ báo cáo lại về lỗ hổng bảo mật và yêu cầu chỉnh sửa tình trạng đó một cách thủ

công Hơn nữa, nó yêu cầu một thủ tục định kỳ mỗi khi cài đặt một hệ điều hành, serverhay ứng dụng mới vào mạng Cũng như các công cụ kiểm tra biên bản, scanner và cáccông cụ thăm dò, đánh giá chính sách không thể mở rộng quy mô do dựa trên hoạt độngcủa con người và các ràng buộc bảo mật có tính chuyên môn cho một tổ chức Ta cómột chân lý là “nếu ta không thể đo được nó thì ta không thể quản lý được nó” Một lợiích quan trọng khác của công cụ đánh giá bảo mật là cho phép quản lý cả với độ lệchtrong bảo mật và biểu đồ thông tin Nó có thể được sử dụng để xác định hiệu quả thựctế của bảo mật và dự đoán hiện tại cũng như tương lai.

CHƯƠNG II: HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDSI Tổng quan về IDS

A Giới thiệu về IDS

Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo củaJames Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu cáchành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làmdụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống pháthiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi đượcsử dụng tại mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các kháiniệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong cácphòng thí nghiệm và viện nghiên cứu Tuy nhiên trong thời gian này, một số công nghệIDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin Đến năm 1997 IDSmới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS,một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cungcấp giải pháp IDS tên là Wheel.

Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh đượcsử dụng nhiều nhất và vẫn còn phát triển

1 Khái niệm “Phát hiện xâm nhập”

Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tínhhay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “xâm nhập bất hợp pháp”.Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đếntính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chếbảo mật của hệ thống máy tính hay mạng đó Việc xâm nhập có thể là xuất phát từ mộtkẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũngcó thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyềnkhác mà họ chưa được cấp phát Như đã đề cập ở trên, hệ thống phát hiện xâm nhập làhệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để pháthiện ra các dấu hiệu xâm nhập

 Network IDS hoặc NIDS

Là các hệ thống phát hiện tấn công, nó có thể bắt giữ các gói tin được truyền trêncác thiết bị mạng (cả hữu tuyến và vô tuyến) và so sánh chúng với cơ sở dữ liệu các tínhiệu

 Host IDS hoặc HIDS

Được cài đặt như là một tác nhân trên máy chủ Những hệ thống phát hiện xâmnhập này có thể xem những tệp tin log của các trình ứng dụng hoặc của hệ thống đểphát hiện những hành động xâm nhập

 Signature

Là những phần mà ta có thể thấy được trong một gói dữ liệu Nó được sử dụngđể phát hiện ra một hoặc nhiều kiểu tấn công Signature có thể có mặt trong các phầnkhác nhau của một gói dữ liệu Ví dụ ta có thể tìm thấy các tín hiệu trong header IP,header của tầng giao vận (TCP, UDP header) hoặc header tầng ứng dụng Thôngthường, IDS ra quyết định dựa trên những tín hiệu tìm thấy ở hành động xâm nhập Cácnhà cung cấp IDS cũng thường xuyên cập nhật những tín hiệu tấn công mới khi chúngbị phát hiện ra.

 Alert

Là những lời thông báo ngắn về những hành động xâm nhập bất hợp pháp KhiIDS phát hiện ra kẻ xâm nhập, nó sẽ thông báo cho người quản trị bảo mật bằng alert.Alert có thể hiện ngay trên màn hình, khi đăng nhập hoặc bằng mail và bằng nhiều cáchkhác Alert cũng có thể được lưu vào file hoặc vào cơ sở dữ liệu để các chuyên gia bảomật có thể xem lại

 Log

o Thông thường, những thông tin mà IDS thu được sẽ lưu lại trong file.Chúng có thể được lưu lại dưới dạng text hoặc dạng nhị phân Tốc độ lưulại thông tin ở dạng nhị phân sẽ nhanh hơn ở dạng text

Vị trí của sensor phụ thuộc vào mô hình của hệ thống mạng Ta có thể đặt ở mộthoặc nhiều nơi, nó phụ thuộc vào loại hoạt động mà ta muốn giám sát (internal, external

hoặc cả 2) Ví dụ, nếu ta muốn giám sát hành động xâm nhập từ bên ngoài và ta chỉ cómột router kết nối với internet thì nơi thích hợp nhất là đặt phía sau thiết bị router (hayfirewall) Nếu ta có nhiều đường kết nối với Interrnet thì ta có thể đặt sensor tại mỗiđiểm kết nối với Internet Ta có thể hình dung qua hình vẽ sau:

2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập)

là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo chohệ thống, nhà quản trị.Ngoài ra,IDS cũng đảm nhận việc phản ứng lại các lưu thôngbất thừong hay có hại bằng các hành động đã được thiết lập từ trước như khóa ngườidùng hay hay địa chỉ IP nguồn đó truy cập hệ thống mạng.

- IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ nhữngngười trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trêncác dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virusdựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưuthông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra cácdấu hiệu khác thường.

Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụngđể phát hiện xâm nhập vào hệ thống mạng cần bảo vệ IDS được thiết kế không phảivới mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó.Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

 Tính chính xác (Accuracy): IDS không được coi những hành động thông thườngtrong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành

động thông thường bị coi là bất thường được gọi là false positive).

 Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập tráiphép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái phépphải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ - theo[Ranum, 2000] là dưới 1 phút).

 Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái phép

nào (xâm nhập không bị phát hiện được gọi là false negative) Đây là một điều

kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về cáctấn công từ quá khứ, hiện tại và tương lai.

 Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn công. Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu

nhất là không bỏ sót thông tin Yêu cầu này có liên quan đến hệ thống mà các sựkiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sựphát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sựtăng trưởng của số lượng sự kiện.

3 Phân biệt những hệ thống không phải là IDS

Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thốngphát hiện xâm nhập, không phải mọi thứ đều được qui vào mục này Theo một cáchriêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS:

 Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đềtấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiểm tra lưulượng mạng.

 Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịchvụ mạng (các bộ quét bảo mật).

 Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguyhiểm như virus, trojan horse, worm, Mặc dù những tính năng mặc định có thể giốngIDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

 Tường lửa – firewall

 Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,

B Lợi ích của IDS:

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước.Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộctấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai,trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hànhđộng là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạncác cảnh báo nhầm đó.

Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà nóđem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặtkhác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựatrên những phân tích và báo cáo được IDS cung cấp Từ đó, hệ thống IDS có thể gópphần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.C.Sự khác nhau giữa IDS và IPS

1 IDS (Intrusion Detection System )

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phầncứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thốngmáy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật Khi màsố vụ tấn công, đột nhập vào các hệ thống máy tính, mạng ngày càng tăng, hệ thốngphát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết hơn trong nền tảng bảo mậtcủa các tổ chức.Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thànhphần nào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngănngừa xâm nhập Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể“nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý –liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiệnhành động thích hợp để hoàn thành tác vụ một cách trọn vẹn Kết quả cuối cùng là mộtnhu cầu có hạn định cho các giải pháp phát hiện hay giám sát thâm nhập một khi tất cảnhững gì liên quan đến mối đe doạ đều bị ngăn chặn.

2 IPS (phát hiện và ngăn chặn xâm nhập )

2.1 Nguyên ý hoạt động của hệ thống

IPS có hai chức năng chính là phát hiện các cuộc tấn công và chống lại các cuộc tấncông đó Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả

các thiết bị trong mạng.2.1 Kiến trúc hung của các hệ thống IPSMột hệ thống IPS đượcxem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa racác thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặnthành công và chính sách quản lý mềm dẻo Hệ thống IPS gồm 3 modul chính: modulphân tích luồng dữ liệu, modul phát hiện tấn công, modul phản ứng.

 Module phân tích luồng dữ liệu:

Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích Thông thường cácgói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưngcard mạng của IPS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đềuđược sao chụp, xử lý, phân tích đến từng trường thông tin Bộ phân tích đọc thông tintừng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thôngtin này được chuyển đến modul phát hiện tấn công.

 Modul phát hiện tấn công:

Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công.Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm dụng và dòsự không bình thường.

Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống,tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Các mẫu tấn công biếttrước này gọi là các dấu hiệu tấn công Do vậy phương pháp này còn được gọi làphương pháp dò dấu hiệu Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộctấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạtđộng của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thốngcủa mình Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được cáccuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thốngluôn phải cập nhật các mẫu tấn công mới.

Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng racác hành động không bình thường của mạng Quan niệm của phương pháp này về cáccuộc tấn công là khác so với các hoạt động thông thường Ban đầu, chúng lưu trữ cácmô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ cónhững hành động khác so với bình thường và phương pháp dò này có thể nhận dạng Cómột số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như

- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bìnhthường trên mạng Các ức ngưỡng về các hoạt động bình thường được đặt ra Nếu có sựbất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạtđộng trên CPU, số lượng một loại gói tin được gửi vượt quá mức thì hệ thống có dấuhiệu bị tấn công.

- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước Khi bắt đầu thiết lập,hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xửcủa mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chếđộ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cáchso sánh với hồ sơ đã thiết lập Chế độ tự học có thể chạy song song với chế độ làm việcđể cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phảidừng lại cho tới khi cuộc tấn công kết thúc.

- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt độngcủa các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạtđộng bất thường vốn là dấu hiệu của sự xâm nhập, tấn công Kỹ thuật này rất hiệu quảtrong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của cáctin tặc.

Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiệncác cuộc tấn công kiểu từ chối dịch vụ Ưu điểm của phương pháp này là có thể pháthiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương phápdò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnhbáo sai làm giảm hiệu suất hoạt động của mạng Phương pháp này sẽ là hướng đượcnghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm số lần cảnh báo sai đểhệ thống chạy chuẩn xác hơn.)

 Modul phản ứng

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi tínhiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng Lúc đó modul phảnứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báotới người quản trị Tại modul này, nếu chỉ đưa ra các cảnh báo tới các người quản trị vàdừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động Modul phản ứngnày tùy theo hệ thống mà có các chức nǎng và phương pháp ngǎn chặn khác nhau Dướiđây là một số kỹ thuật ngǎn chặn:

- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm pháhuỷ tiến trình bị nghi ngờ Tuy nhiên phương pháp này có một số nhược điểm Thờigian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công, dẫn đếntình trạng tấn công xong rồi mới bắt đầu can thiệp Phương pháp này không hiệu quảvới các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can thiệp phải cótrường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình tấn công Nếutiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương pháp này.

- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường mộtgói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công Kiểu phản ứng nàylà an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.

- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu hìnhlại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình lại là tạm thời thay đổi cácchính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh báo tới ngườiquản trị.

- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họnắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.

- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tệptin log Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồnthông tin giúp cho modul phát hiện tấn cônghoạtđộng.

2.2 Các kiểu hệ thống IPS

Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.a) IPS ngoàiluồngHệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu Luồng dữliệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thể kiểm soát luồng dữliệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vị trí này,IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà khônglàm ảnh hưởng đến tốc độ lưu thông của mạng.

b)IPS trong luồng

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bứctường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưuthông Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn sovới IPS ngoài luồng Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vàomạng chậm hơn.

C Chức năng của IDS

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi nhữngđe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin Những đedọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà anninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi nhữngđặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếucủa hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệthống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống Có nhiềutài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lýdo tại sao nên sử dụng hệ thống IDS:

• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu tronghệ thống.Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá

• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài

Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thôngtin của người dùng hợp pháp.

• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệthống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhậpthông tin bất hợp pháp.

• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửachữa…

Nói tóm lại ta có thể tóm tắt IDS như sau:

Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi.

 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.

 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà cónhững hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

 Chức năng mở rộng:

Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài.

Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so

sánh thông lượng mạng hiện tại với baseline.

Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:

 Ngăn chặn sự gia tăng của những tấn công

 Bổ sung những điểm yếu mà các hệ thống khác chưa làm được Đánh giá chất lượng của việc thiết kế hệ thống

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên Việcđưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cáchbố trí bảo vệ phòng thủ của các nhà quản trị mạng.

D Phân loại:

Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấncông: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sản phẩm IDS cóthể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.

 Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tậphợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấncông.

 Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bìnhthường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếutố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.

 Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép vànhững hành động dị thường

Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng. Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành

động nào là tấn công.

 Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.

1.Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng.Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với nhữngmô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhậnvà phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng haydấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hìnhnhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIPS là tập nhiều sensorđược đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đãđược định nghĩa để phát hiện đó là tấn công hay không.

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộlưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phầnmềm cài đặt trên máy tính Chủ yếu dùng để đo lưu lượng mạng được sử dụng Tuynhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.

2 Lợi thế của Network-Based IDSs:

- Quản lý được cả một network segment (gồm nhiều host)- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng- Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)- Độc lập với OS

3 Hạn chế của Network-Based IDSs:

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion màNIDS báo là có intrusion.

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động đượcphát ra, hệ thống có thể đã bị tổn hại.

- Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giớihạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lạinhững lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năngcủa đầu dò cũng vậy Một giải pháp là bảo đảm cho mạng được thiết kế chính xác đểcho phép sự sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dòđược lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thốngIDS dựa trên mạng là phân mảnh những gói thông tin của họ Mỗi giao thức có mộtkích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì góidữ liệu đó sẽ được phân mảnh Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ranhững mẫu nhỏ Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuấthiện hiện tượng chồng chéo Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biếnphải biết quá trình tái hợp lại cho đúng Nhiều hacker cố gắng ngăn chặn phát hiện bằngcách gởi nhiều gói dữ liệu phân mảnh chồng chéo Một bộ cảm biến sẽ không phát hiệncác hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin mộtcách chính xác.

4.Host Based IDS (HIDS)

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủquan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thuthập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịchsử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ Trong khinhững đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trênmáy chủ mới có thể xác định xem cuộc tấn công có thành công hay không Thêm nữalà, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làmtrên máy chủ bị tấn công (compromised host).

Không phải tất cả các cuộc tấn công được thực hiện qua mạng Bằng cách giành quyềntruy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thểtấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng(network traffic) nào cả Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn côngmà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điềukhiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thìhắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vậtlý.

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn côngdùng sự phân mảnh hoặc TTL Vì một host phải nhận và tái hợp các phân mảnh khi xửlí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.

HIDS thường được cài đặt trên một máy tính nhất đinh Thay vì giám sát hoạt động củamột network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS

thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thayđổi trên hệ thống, bao gồm (not all):

5.Lợi thế của HIDS:

 Có khả năng xác đinh user liên quan tới một event.

 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDSkhông có khả năng này.

 Có thể phân tích các dữ liệu mã hoá.

 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

 HIDS có thể không hiệu quả khi bị DOS.

 Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy đượctrên UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cảcác máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiênbản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gianvà là những việc làm phức tạp Bởi vì hệ thống dựa trên máy chủ chỉ phân tích nhữnglưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thămdò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy

chủ Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quétping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ Nếu máy chủ bị thỏahiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủđó Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủkhả năng cảnh báo của mạng Trong một môi trường hỗn tạp, điều này có thể là mộtvấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau Do đótrước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trêntất cả các hệ điều hành.

DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor Mỗisensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database serverđể xử lý.

DIDS có khả năng xử lý tập trung, giúp cho người quản trị có khả năng theo dõi toànbộ hệ thống Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiềusensor ở khắp mọi nơi đó là hệ thống Dshield Dshield là một phần của trung tâm ISC(Internet Storm Center) của viện SANS.

SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS

Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phântích dữ liệu trong thời gian thực Network-based IDS không có tác động tới mạng hayhost, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng Nócũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại networkrouting có thể là cần thiết với môi trường chuyển mạch.

Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based vàanomaly-based HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thốngở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạngđồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật Do nóhoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như synflood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệthống console của network-based IDS và trên môi trường chuyển mạch.

Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng đượcthiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cầnphải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạngtrong thời gian ngừng hoạt động.

Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạngvà xác định các vi phạm bảo mật Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc cáccảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lývà phản ứng với các cuộc tấn công.

Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thôngtin hiện hành, hệ thống đó sẽ được tập trung vào HIDS Cho dù NIDS cũng có giá trịriêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp đểphát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu Hầu hết các NIDS đềukhông hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ởmạng có mã hóa Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từngay trong tổ chức Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớnvào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn Nói chung một môitrường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảomật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếpmột host trên mạng.

Một ví dụ sử dụng kết hợp NIDS và HIDS.

Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt cáckết nối nguy hiểm với mạng bên ngoài Network-based IDS được đặt trước đường ramạng ngoài nhằm phân tích dữ liệu vào ra hệ thống Phía bên trong Host-based IDSđược cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó ManagerConsole là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâmnhập trái phép.

Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thờinói đến lợi ích của việc kết hợp cả hai giải pháp Giả sử một hacker muốn xâm nhậpvào hệ thống Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè rootdirectory của web server bằng một tập file nào đó Nhưng nó không thể phát hiện đượcnếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIXserver Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóathư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đóđịnh thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã đượcsửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocolstack và không thể phục vụ được) Còn một network-based IDS với bộ dấu hiệu tĩnh cóthể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack nhưLAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thôngtin credit card thông qua ứng dụng cơ sở dữ liệu Việc kết hợp host-based và network-based IDS có thể phát hiện được tất cả các kiểu tấn công trên.

E Kiến trúc của IDS

Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích vàkiểm tra khác nhau của các hệ thống Một hệ thống IDS được xem là thành công nếuchúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý,phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chínhsách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêngnhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau:

1 Các nhiệm vụ thực hiện

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây lànhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).

Notification

Protected system

IDS Tasks

Additional IDS Infas tructureNotificationMonitoring

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trịviên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị viên hoặccó thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóađể giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơsở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức (Hình 2.3.1b) MộtIDS là một thành phần nằm trong chính sách bảo mật.

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong nhữngnhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tìnhtiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tươnglai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.

Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy rado trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ kýthông qua mail.

2 Kiến trúc của hệ thống phát hiện xâm nhập IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin(information collection), thành phần phân tích gói tin(Dectection), thành phần phản hồi(respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc Trong ba thànhphần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộcảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểurõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện Cáchsưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tinsự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sáchthích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các góimạng Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thốngđược bảo vệ hoặc bên ngoài Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiệnđược truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thựchiện Điều này cũng liên quan một chút nào đó đến các gói mạng.

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thíchđạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được cáchành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mụcnày Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường,các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham sốcấu hình, gồm có các chế độ truyền thông với module đáp trả Bộ cảm biến cũng có cơsở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từnhiều hành động khác nhau).

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặcphân tán Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúngtruyền thông với nhau Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân,nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảovệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chíđảm trách cả hành động đáp trả Mạng các tác nhân hợp tác báo cáo đến máy chủ phântích trung tâm là một trong những thành phần quan trọng của IDS DIDS có thể sử dụngnhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn côngphân tán Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tínhroaming của nó trong các vị trí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dànhcho việc phát hiện dấu hiệu tấn công đã biết nào đó Đây là một hệ số quyết định khinói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trịcho việc phát hiện xâm phạm) Nó sử dụng các tác nhân để kiểm tra một khía cạnh nàođó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: một tác nhân có thể cho biếtmột số không bình thường các telnet session bên trong hệ thống nó kiểm tra Tác nhâncó khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi Các tác nhân cóthể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị) Một phần trongcác tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành độngđược kiểm soát bởi các tác nhân ở một host cụ thể nào đó Các bộ thu nhận luôn luôngửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất Các bộ kiểm tra nhậnthông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương

quan với thông tin phân tán Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọcvà thu thập dữ liệu.

Ngoài ra còn có 1 số điểm chú ý sau:

- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệpcũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.

- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát ,kiểm tra thông tin đầu vào đầu ra:

+ Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện,phân tích, đáp trả, báo cáo từ vị trí trung tâm:

+Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về báocáo về vị trí trung tâm.

+Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếpđiều khiển các thao tác giám sát, kiểm tra báo cáo.

II.PHƯƠNG THỨC PHÁT HIỆN1 Misuse – based system

Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công,đó là knowledge-based và signature-based.

Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng

tấn công Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữliệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo Sự kiện không trùng với bất cứdạng tấn công nào thì được coi là những hành động chính đáng Lợi thế của mô hình

này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công Tuynhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng vớinhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khókhăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn côngđã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấncông và lỗ hổng mới.

Match ?

Knowledge – based IDS

Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn

công gọi là dấu hiệu Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểutấn công Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các góitin có liên quan đến kiểu tấn công đã biết Thường thì dấu hiệu được lưu ở dạng chophép so sánh trực tiếp với thông tin có trong chuỗi sự kiện Trong quá trình xử lý, sựkiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽtạo ra cảnh báo.

Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồichính xác về cảnh báo, và thường yêu cầu ít tài nguyên tính toán Tuy nhiên, chúng cónhững điểm yếu sau:

 Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.

 Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữliệu, nên kích cỡ của nó sẽ trở nên rất lớn.

 Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó pháthiện những biến thể của nó

Ví dụ quen thuộc về signature-based là Snort, EMERALD và nhiều sản phẩm thươngmại khác.

Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai, chúng có sự khác biệt cơ bảnvề trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhậptrái phép).

Audit DataKnowledge Base

Attack