Chương 3: XÂY DỰNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖ
3.2.1Giới thiệu hệ thống phát hiện đột nhập Snort
Snort [20]là một NIDS được Martin Roesh phát triển dưới mơ hình mã nguồn mở. Tuy Snort miễn phí nhưng nĩ lại cĩ rất nhiều tính năng tuyệt vời mà khơng phải sản phẩm thương mại nào cũng cĩ thể cĩ được. Với kiến trúc thiết kế theo kiểu module, người dùng cĩ thể tự tăng cường tính năng cho hệ thống Snort
của mình bằng việc cài đặt hay viết thêm mới các module. Cơ sở dữ liệu luật của Snort đã lên tới hàng nghìn luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng. Snort cĩ thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, MacOS,…. Bên cạnh việc cĩ thể hoạt động như một ứng dụng thu bắt gĩi tin thơng thường, Snort cịn cĩ thể được cấu hình để chạy như một NIDS.
Snort phát hiện một cuộc tấn cơng bằng việc sử dụng phương pháp đối sánh giữa chuỗi thơng tin của gĩi tin và một tập các chuỗi dấu hiệu (Signature) của các cuộc tấn cơng đã biết trước đĩ. Hay nĩi một cách khác, Snort sử dụng phương pháp phát hiện đột nhập dựa vào chữ ký.
Như vậy, hệ thống Snort là mơi trường thích hợp cho việc ứng dụng mơ hình phát hiện đột nhập dựa vào đối sánh chuỗi đa mẫu thực hiện trong luận văn.
Các thành phần của Snort
Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau để phát hiện các cách tấn cơng cụ thể và tạo ra output theo một định dạng được địi hỏi. Một IDS dựa trên Snort bao gồm các thành phần chính sau đây:
Packet Decoder Preprocessor Dectection Engine
Logging và Alerting System Output Modules
Packet Decoder (Bộ phận giải mã gĩi):
Bộ phận giải mã gĩi lấy các gĩi từ các giao diện mạng khác nhau và chuẩn bị cho việc gĩi tin được xử lí trước hoặc được gửi cho bộ phận phát hiện.
Preprocessor (Bộ phận xử lí trước):
Bộ phận xử lí trước là những thành phần được sử dụng với Snort để sắp xếp hoặc chỉnh sửa gĩi dữ liệu trước khi bộ phận phát hiện làm một vài xử lý để tìm ra gĩi tin cĩ được sử dụng bởi kẻ xâm nhập hay khơng. Một vài bộ phận xử lý trước cũng thực thi việc phát hiện bằng cách tìm các dấu hiệu bất thường trong header của gĩi tin và tạo ra các cảnh báo. Bộ phận xử lí trước là rất quan trọng trong bất kì IDS
lại các dịng TCP, v.v...Những chức năng này rất quan trọng trong hệ thống phát hiện xâm nhập.
Dectection Engine (Bộ phận phát hiện):
Đây là phần quan trọng nhất của Snort. Trách nhiệm của nĩ là phát hiện cĩ sự xâm nhập tồn tại trong gĩi tin hay khơng. Bộ phận phát hiện sử dụng các luật của Snort cho mục đích này.Nếu một gĩi tin khớp với bất kì một luật nào, một hành động tương ứng sẽ được thực hiện. Đây là bộ phận then chốt về thời gian thực thi của Snort. Thời gian xử lý mỗi gĩi tin phụ thuộc vào năng lực tính tốn của hệ thống vào số lượng luật. Nếu lưu lượng trên mạng quá lớn khi Snort đang hoạt động trong chế độ NIDS, một vài gĩi tin cĩ thể bị bỏ qua và cĩ thể thời gian đáp ứng khơng chính xác. Lưu lượng trên bộ phận phát hiện phụ thuộc vào các yếu tố sau:
Số lượng các luật
Năng lực tính tốn của hệ thống mà Snort đang chạy Tốc độ của bus được sử dụng
Lưu lượng trên mạng
Bộ phận phát hiện hoạt động theo những cách khác nhau ở các phiên bản khác nhau của Snort. Trong tất cả phiên bản 1.x của Snort, bộ phận phát hiện dừng việc xử lí gĩi tin khi phù hợp với một luật. Dựa vào luật, bộ phận phát hiện sẽ cĩ các hành động tương ứng. Điều này cĩ nghĩa là nếu một gĩi tin phù hợp với nhiều luật, chỉ cĩ luật đầu tiên được áp dụng mà khơng xem xét đến các luật cịn lại. Điều này làm nảy sinh một vấn đề. Một luật cĩ độ ưu tiên thấp sẽ tạo ra một cảnh báo cĩ độ ưu tiên thấp, nếu một luật cĩ độ ưu tiên cao bị xếp sau trong chuỗi luật. Vấn đề này được giải quyết trong Snort phiên bản 2, khi mà tất cả các luật được so sánh trên một gĩi tin trước khi tạo ra một cảnh báo. Sau khi so sánh tất cả các luật, luật cĩ độ ưu tiên cao nhất sẽ được chọn để tạo cảnh báo. Vì bộ phận phát hiện trong
phiên bản 2 đã được viết lại hồn tồn nên nĩ nhanh hơn rất nhiều so với các phiên bản trước đây.
Logging và Alerting System(Hệ thống ghi và cảnh báo):
Phụ thuộc vào cái mà bộ phận phát hiện tìm thấy trong gĩi tin, gĩi tin cĩ thể được sử dụng để ghi lại các hành vi hoặc tạo ra một cảnh báo. Các thơng tin ghi lại được giữ trong các file text đơn giản hoặc các dạng khác.
Output Modules(Bộ phận đầu ra):
Module đầu ra hoặc plug-in cĩ thể hoạt động theo nhiều cách phụ thuộc vào việc người dùng muốn lưu các output được tạo ra bằng hệ thống ghi và tạo cảnh báo như thế nào.