Luận văn HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System)

Chia sẻ: Trương Công Duy | Ngày: | Loại File: PDF | Số trang:65

Thêm vào BST

Báo xấu

364
lượt xem 88
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập. Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System)

LÊ THỊ AN HẢI HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS ----------------------------------------------------------------------------------------------------------------------------
BỘ GIÁO DỤC & ĐÀO TẠO CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐẠI HỌC KỸ THUẬT CÔNG ĐỘC LẬP – TỰ DO – HẠNH PHÚC NGHỆ TP.HCM _____oOo_____ Khoa: Công nghệ thông tin NHIỆM VỤ THỰC HIỆN ĐỀ TÀI CHUYÊN NGÀNH Bộ môn: Mạng máy tính Họ và tên : Lê Thị An Hải MSSV : 09B1020158 Ngành : Mạng máy tính Lớp : 09HTHM2 1. Đầu đề đồ án tốt nghiệp : HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System) 2. Nhiệm vụ : ……………………………………………………………………………………........... ………………………………………………………………………………………..…. ……....................................................................................................……………………………………………………………………………………….. ………………………. 3. Ngày giao nhiệm vụ đồ án:…………………………………………………… 4. Ngày hoàn thành nhiệm vụ:………………………………………………...... 5. Họ tên giáo viên hướng dẫn:............................................................................. Nội dung và yêu cầu đồ án chuyên ngành đã GIÁO VIÊN HƯỚNG DẪN CHÍNH thông qua. (Ký và ghi rõ họ tên) TP.HCM, ngày …… tháng …… năm 2007 CHỦ NHIỆM KHOA (Ký và ghi rõ họ tên) PHẦN DÀNH CHO BỘ MÔN Người duyệt (chấm sơ bộ) : Đơn vị : Ngày bảo vệ : Điểm tổng quát : ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA CÔNG NGHỆ THÔNG TIN ĐỘC LẬP – TỰ DO – HẠNH PHÚC ____o0o____
NHẬN XÉT ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN ĐỀ TÀI: Sinh Viên: Chuyên ngành: Điểm bằng số: Điểm bằng chữ: Tp. Hồ Chí Minh, ngày tháng năm2010 NGƯỜI NHẬN XÉT (Ký tên và ghi rõ họ tên) LỜI CẢM ƠN Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn Mạng máy tính, khoa Công nghệ thông tin, trường Kỹ Thuật Công Nghệ Thành Phố Hồ Chí Minh đã tạo điều kiện cho em thực hiện đồ án chuyên ngành. Xin chân thành cảm ơn thầy giáo Nguyễn Hoàng Nam đã tận tình hướng dẫn, giúp đỡ em hoàn thành đồ án này. Cuối cùng, em xin bày tỏ lòng biết ơn đến gia đình và bạn bè đã giúp đỡ, động viên em rất nhiều trong suốt quá trình học tập và làm đồ án. Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc chắn đồ án này còn có nhiều thiếu sót. Em rất mong nhận được những ý kiến đóng góp quý báu từ thầy cô và các bạn. Tp.HCM, ngày…… tháng……năm 2010 LÊ THỊ AN HẢI Lớp 09HTHM2-ĐH KTCN Tp.HCM MỤC LỤC NHIỆM VỤ ĐỒ ÁN CHUYÊN NGÀNH……………………………………..1
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN………………………………2 LỜI CẢM ƠN…………………………………………………………………...3 MỤC LỤC………………………………….……………………………………4 LỜI NÓI ĐẦU…………………………………………………………………..8 CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG…...………………….….9 I. BẢO MẬT HỆ THỐNG…………………………….…………………….....9 1. Khái niêm về bảo mật........................................................................................9 2. Sự cần thiết của bảo mật..................................................................................9 3. Những mối đe dọa...........................................................................................10 3.1. Mối đe dọa không có cấu trúc.......................................................................10 3.2. Mối đe dọa có cấu trúc..................................................................................10 3.3. Mối đe dọa từ bên ngoài...............................................................................10 3.4. Mối đe dọa từ bên trong................................................................................11 4. Các phương thức tấn công (Attack methods)................................................11 4.1. Thăm dò........................................................................................................11 4.2. Truy nhập (Access).......................................................................................12 4.3. Từ chối dịch vụ (Denial of Service)..............................................................14 II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS...........................................15 1.Sự giới hạn của các biên pháp đối phó...........................................................15 2. Sự cần thiết của hệ thống phát hiện xâm nhập.............................................16 CHƯƠNG II: SƠ LƯỢC VỀ HỆ THỐNG IDS..............................................18 I. GIỚI THIỆU CƠ BẢN VỀ IDS....................................................................18 1. Định nghĩa.......................................................................................................18 2. Chức năng.......................................................................................................19 3. Yêu cầu hệ thống.............................................................................................19 4. Kiến trúc cơ bản của hệ thống.......................................................................20 4.1. Cơ sở hạ tầng của IDS...................................................................................20 4.2. Cấu trúc và kiến trúc của hệ thống................................................................22 II. CƠ CHẾ HOẠT ĐỘNG…………………………..….……………………24 1. Phương pháp nhận diện………………………….………..………………..24 1.1. Nhận diện dựa vào dấu hiệu (Signature-base detection)……..…...………24 1.2. Nhận diện sự bất thường (Abnormaly-base detection)………...…………..25 1.3. Phân tích trạng thái giao thức (Stateful protocol analysis)……………..….25 2. Cơ chế bảo mật………………………………...…………………………….26 2.1. Phát hiện tấn công………………………………………………………….26 2.2. Ngăn chặn tấn công………………………………………..……………….27
2.3. Phòng tránh tấn công………………………………………...……………..28 3. Phản ứng……………………………………...…………..…………………29 III.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS…..30 1. Kỹ thuật xử lý dữ liệu……………………………………….……………….30 1.1. Hệ thống Expert (Expert systems)…………………………………………30 1.2. Phát hiện xâm nhập dựa trên luật (Rule-base intrusion detection)……..….30 1.3. Phân biệt ý định người dùng (User intention identification)………………30 1.4. Phân tích trạng thái phiên (State-transition analysis)………………..……..31 1.5. Phương pháp phân tích thống kê (Staticstical analysis approach)……...….31 2. Các kiểu tấn công thông dụng…………………..…………………….…….31 2.1. Denial of Service attack……………………………………………………31 2.2. Scanning and Probe………………………………………………..……….32 2.3. Password attack………………………………………………...…………..33 2.4. Privilege-grabbing……………………………………………...…………..34 2.5. Hostile code insertion………………………………………...…………….35 2.6. Cyber vandalism………………………………………………..………….36 2.7. Proprietary data theft………………………………………………….……37 2.8. Fraul, waste, abuse…………………………………………………...…….37 2.9. Audit trail tampering……………………………………………...………..38 2.10. Security infrastructure attack……………………………………………..39 3. Hạn chế của hệ thống………………………………..………………...……39 CHƯƠNG III: MÔ HÌNH HỆ THỐNG………………………...…………...41 I. PHÂN LOẠI……………………..………………………………………….41 1. Host Intrusion Detection System………………….…………...…..………..41 2. Network Intrusion Detection System………………….…………………….43 3. Distributed Intrusion Detection System……………….…..………………..46 4. So sánh HIDS và NIDS…………………………………..…………………47 5. Phân biệt các hệ thống không phải là IDS…………….……………...……50 II. MỘT SỐ DẠNG KHÁC CỦA IDS…………………………...…………...51 1. Wireless IDS……………….………………...……………..………………..51 2. Network Behavior Analysis System…...………………………………….…53 3. Honeypot IDS………………………………………………………………..54 CHƯƠNG IV: XÂY DỰNG MÔ HÌNH SẢN PHẨM…………….……..….55 I. ĐẶT VẤN ĐỀ BÀI TOÁN……………………………….…………………55 II. GIỚI THIỆU CHUNG VỀ SNORT………………………………...…….56 1. Các thành phần cơ bản của Snort……………………………………...…..56
1.1. Packet Decoder…………………………………………………………….59 1.2. Preprocessors………………………...…………………………………….59 1.3. Detection Engine…………………………...………………………………60 1.4. Logging and Alerting System…………………………..………………….62 1.5. Output Modules……………………………………………...……………..63 2. File cấu hình………………..………………………………….……………64 2.1 Cấu hình các biến giá trị………………………………………...………….65 2.2. Cấu hình bộ tiền xử lý………………………………………...……………67 2.3. Cấu hình xuất kết quả…………………………………………………...….69 2.4. Các files kèm theo………………….………………………………………72 3. Tập luật (rulesets) trong Snort………………..…………………………….73 3.1. Cấu trúc của một rule…………………………………………..…………..75 3.2. Rule option…………………………………………………………………77 III. TRIỂN KHAI HỆ THỐNG IDS BẰNG SNORT………………...……..78 1. Những điểm cần lưu ý…………………………………..…………..………78 1.1. Các hệ thống và mạng phải giám sát………………………….……………79 1.2. Tạo các điểm kết nối………………………………………………...……..80 1.3. Lưu lượng mã hóa………………………………………………………….80 1.4. Bảo mật bộ cảm biến Snort…………………………………….…………..81 1.5. Chọn hệ điều hành…………………………………………….……………81 1.6. Cấu hình các giao diện…………………………………………..…………82 2. Cài đặt và cấu hình căn bản……………………………………..………….83 2.1. Các bước cài đặt và cấu hình Snort……………………………..………….83 2.2. Các chế độ hoạt động…………………………………………...………….90 3. Cấu hình Snort nâng cao…………………………..………………………..92 3.1. Cài đặt cơ sở dữ liệu cho Snort…………………………………………….92 3.2. Basic Analysis and Security Engine…………………………….…………99 3.3. Tự động cập nhập Snort rules với Oinkmaster………………….………..105 4. Mô hình triển khai………………………..……………………….……….111 4.1. Mô hình bài toán 1………………………………………………...……...111 4.2. Mô hình bài toán 2………………………………………………………..116 ĐÁNH GIÁ KẾT QUẢ ĐỒ ÁN………………………………………..……118 TÀI LIỆU THAM KHẢO……………………….…………………..………120
LỜI NÓI ĐẦU Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập. Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử dụng làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Mặc dù các phương pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay. Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ thống IDS, mà còn có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng dụng rộng rãi trong thực tiễn. CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG I. BẢO MẬT HỆ THỐNG 1. Khái niệm về bảo mật: Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: - Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. - Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. - Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. - Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. 2. Sự cần thiết của bảo mật: Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội, nhưng đi cùng với việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn công trên Internet. Càng có nhiều khả năng truy nhập thì càng có nhiều cơ hội cho những kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt mà không cần lo lắng quá về việc tăng nguy cơ bị tấn công. 3. Những mối đe dọa: 3.1 Mối đe dọa không có cấu trúc ( Untructured threat) Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có
nhiều cuộc tấn công có ý đồ xấu. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn là một mối nguy hại lớn. 3.2. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Động cơ thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các cuộc tấn công này thường có mục đích từ trước. Các cuộc tấn công như vậy thường gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. 3.3. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. 3.4. Mối đe dọa từ bên trong ( Internal threat ) Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. 4. Các phương thức tấn công ( Attack methods): 4.1. Thăm dò (Reconnaisance) Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống, dịch vụ hay điểm yếu một cách trái phép. Nó cũng được biết như việc thu thập thông tin, và trong nhiều trường hợp là hành động xảy ra trước việc xâm nhập hay tấn công từ chối dịch vụ. Việc thăm dò thường được thực hiện bằng các công cụ hay câu lệnh có sẵn trên hệ điều hành. Ta có các bước cơ bản của việc thăm dò như sau: Bước 1: Ping quét để kiểm tra bản đồ IP. Bước 2: Sử dụng port scanner để kiểm tra dịch vụ và cổng mở trên IP đó, có nhiều công cụ như vậy, như Nmap, SATAN,… Bước 3: Truy vấn các cổng để xác định loại, phiên bản của ứng dụng, hệ điều hành. Bước 4: Xác định điểm yếu tồn tại trên hệ thống dựa trên các bước trên. Hình 1.1: Thăm dò hệ thống
Một kẻ tấn công ban đầu thường rà quét bằng lệnh ping tới mục tiêu để xác định địa chỉ IP nào còn tồn tại, sau đó quét các cổng để xác định xem dịch vụ mạng hoặc mạng nào cổng nào đang mở. Từ những thông tin đó, kẻ tấn công truy vấn tới các port để xác định loại, version của ứng dụng và cả của hệ điều hành đang chạy. Từ những thông tin tìm được, kẻ tấn công có thể xác định những lỗ hổng có trên hệ thống để phá hoại. 4.2. Truy nhập (Access) Access là chỉ việc thao túng dữ liệu, truy nhập hệ thống hay leo thang đặc quyền trái phép. Truy nhập vào hệ thống là khả năng của kẻ xâm nhập để truy nhập vào thiết bị mà không có tài khoản hay mật khẩu. Việc xâm nhập đó thường được thực hiện bằng cách sử dụng các công cụ, đoạn mã hack nhằm tấn công vào điểm yếu của hệ thống hay ứng dụng. Trong một số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà không thực sự cần lấy trộm thông tin, đặc biệt khi động cơ của việc xâm nhập là do thách thức hay tò mò. Phương thức xâm nhập rất đa dạng. Phương thức đầu tiên là lấy mật mã của tài khoản.Tài khoản và mật mã cũng có thể lấy được bằng các phương pháp nghe trộm từ bước thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều thông tin. Khi đã lấy được tài khoản, kẻ tấn công có thể vào hệ thống như người dùng hợp pháp bình thường, và nếu tài khoản đó có đặc quyền lớn thì kẻ xâm nhập có thể tạo ra backdoor cho các lần xâm nhập sau. Hình 1.2: Man In The Middle attack Hình 1.3: Tấn công khai thác sự tin cậy. 4.3. Từ chối dịch vụ ( Denial of Service) Denial of service (DoS) là trạng thái khi kẻ tấn công vô hiệu hóa hay làm hỏng mạng, hệ thống máy tính, hay dịch vụ với mục tiêu từ chối cung cấp dịch vụ cho user dự định. Nó thường liên quan đến việc phá hoại hay làm chậm hệ thống để người dùng không thể sử dụng được. Trong hầu hết các trường hợp, việc tấn công chỉ cần thực hiện bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn công không cần quyền truy nhập vào hệ thống. Chỉ với lí do phá hoại, tấn công từ chối dịch vụ gây ra là rất lớn và đây là kiểu tấn công nguy hiểm nhất đặc biệt là cho các trang web thương mại. Hình 1.4: Mô hình DDoS attack
II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS 1. Sự giới hạn của các biện pháp đối phó: Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao. Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài, cung cấp cơ chế phòng thủ từ vành đai, hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống. Hình 1.5: Firewall bảo vệ hệ thống Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng có những điểm yếu sau: - Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và không thể chống lại sự đe dọa từ trong hệ thống. - Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể cho phép việc thăm dò điểm yếu. - Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công. - Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall. - Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống. VPN và cơ chế mã hóa cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý với những hành động của người dùng. Hình 1.6: Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành. Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có
dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”. 2. Sự cần thiết của hệ thống phát hiện xâm nhập: Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác… Hệ thống phát hiện xâm nhập giúp giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Nó cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên quan trọng, nhưng nó có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Hình 1.7: Mô hình hệ thống Bài viết này tôi sẽ giới thiệu cho các bạn tổng quan về hệ thống phát hiện xâm nhập IDS-Intrsion Detection System, kiến trúc chuẩn, cơ chế hoạt động, chức năng, nhiệm vụ và các kỹ thuật xử lý dữ liệu của hệ thống. Giới thiệu về mô hình sản phẩm và cách xây dựng hệ thống IDS sử dụng Snort. CHƯƠNG II: SƠ LƯỢC VỀ HỆ THỐNG IDS I. GIỚI THIỆU CƠ BẢN VỀ IDS 1. Định nghĩa: IDS (Intrusion Detection System) là hệ thống giám sát lưu thông mạng (có thể là một phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay những hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công (FootPrinting, Scanning, Sniffer…), cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị. IDS được coi là công cụ bảo mật vô cùng quan trọng, nó được lựa chọn là giải pháp bảo mật được bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng, có khả năng vượt qua được Firewall sau đó nó có thể kết hợp với Firewall hoặc một số công cụ khác để đưa ra cách đối phó với những đoạn mã độc đó.
Hình 2.1: IDS-giải pháp bảo mật bổ sung cho Firewall 2. Chức năng: Các ứng dụng cơ bản của hệ IDS: - Nhận diện các nguy cơ có thể xảy ra - Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ - Nhận diện các hoạt động thăm dò hệ thống - Nhận diện các yếu khuyết của chính sách bảo mật - Ngăn chặn vi phạm chính sách bảo mật Các tính năng chính của hệ IDS: - Lưu giữ thông tin liên quan đến các đối tượng quan sát - Cảnh báo những sự kiện quan trọng liên quan đến đối tượng quan sát - Xuất báo cáo. 3.Yêu cầu hệ thống: Hệ thống phát hiện xâm nhập trái phép là phần cứng hay những ứng dụng phần mềm chuyên dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hoàn thiện nó. Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau: - Tính chính xác (Accuracy): IDS không được coi những hành động thông thường trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành động thông thường bị coi là bất thường được gọi là false positive). - Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập trái phép trong thời gian thực (nghĩa là hành động xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng) - Tính trọn vẹn (Completeness): IDS không được bỏ qua xâm nhập trái phép nào(những cuộc xâm nhập trái phếp bị bỏ qua được gọi là false negative). Đây là một điều kiện khó có thể thỏa mãn được vì gần như không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương lai. - Chịu lỗi (Fault Tolerance): yêu cầu bản thân IDS phải có khả năng chống lại tấn công. - Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái xấu nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện. Mục tiêu của việc phát hiện xâm nhập trái phép là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống và người tấn công ngoài hệ thống. 4. Kiến trúc cơ bản của hệ thống:
4.1. Cơ sở hạ tầng của IDS: Nhiệm vụ chính của hệ thống IDS/IPS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp. Hình2.2:Intrusion detection system activities Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt ( Honeypot IDS ), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS ) để phát hiện các cuộc tấn công có thể (xâm nhập). Một khi xâm nhập một đã được phát hiện, hệ thống IDS phát các cảnh báo đến người quản trị về sự kiện này. Bước tiếp theo được thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lưu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý…) – tùy thuộc vào chính sách an ninh của mỗi tổ chức. Hình 2.3: Intrusion detection system infrastructure
Hệ thống IDS là một thành phần của chính sách bảo mật. Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tương lai nhắm vào mục tiêu cụ thể. 4.2. Cấu trúc và kiến trúc của hệ thống IDS: Các thành phần cơ bản: - Sensor/ Agent: giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng NIDS trong khi “Agent” thường được dùng cho dạng HIDS. - Management Server: là 1 thiết bị trung tâm dùng thu nhận các thông tin từ Sensor/ Agent và quản lý chúng. - Database: dùng lưu trữ thông tin từ Sensor/ Agent hay Management Server - Console : là chương trình cung cấp giao diện cho IDS users/ Admins. Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích. Kiến trúc của hệ thống IDS: Sensor là yếu tố cốt lõi trong một hệ thống phát hiện xâm nhập, nó có trách nhiệm phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối với sự xâm nhập. Sensor nhận dữ liệu thô từ ba nguồn thông tin chính: kiến thức cơ bản (knowledge base) của IDS, syslog và audit trail. Các thông tin này tạo cơ sở cho quá trình ra quyết định sau này. Sensor được tích hợp với các thành phần chịu trách nhiệm thu thập dữ liệu - một event generator. Dựa vào các chính sách tạo sự kiện nó xác định chế độ lọc thông tin thông báo sự kiện. Các event generator (hệ điều hành, mạng, ứng dụng) tạo ra một chính sách nhất quán tập các sự kiện có thể là log hoặc audit của các sự kiện của hệ thống, hoặc các gói tin. Điều này, thiết lập cùng với các thông tin chính sách có thể được lưu trữ hoặc là trong hệ thống bảo vệ hoặc bên ngoài. Trong những trường hợp nhất định, dữ liệu không được lưu trữ mà được chuyển trực tiếp đến các phân tích (thông thường áp dụng với các gói packet). Hình 2.4:Một ví dụ về hệ IDS Hình 2.5:Các thành phần chính của một hệ IDS Các hệ thống IDS có thể được triển khai theo 2 hướng là tập trung và phân tán. Một ví dụ cụ thể cho hướng triển khai tập trung là tích hợp
IDS cùng với các thành phần an ninh khác như firewall. Triển khai phân tán (distributed IDS) bao gồm nhiều hệ IDS trong 1 hệ thống mạng lớn, được kết nối với nhau nhằm nâng cao khả năng nhận diện chính xác xâm nhập và đưa ra phản ứng thích hợp. II. CƠ CHẾ HOẠT ĐỘNG: Hệ thống phát hiện xâm nhập hoạt động dựa trên cơ chế monitor traffic lưu thông trên hệ thống, việc monitor có thể thực hiện bằng nhiều phương pháp - Mirror LAN traffic vào cổng monitoring của IDS - Sử dụng inline IDS (IOS IDS, PIX IDS như đối với Cisco; IDP như đối với Netscreen; một số còn gọi là IPS) IDS có khả năng "dò" các kiểu tấn công vào mạng. Chúng ta có thể hình dung hoạt động của IDS như một camera đặt trong mạng nhằm theo dõi tất cả các gói tin trong mạng. Tuy nhiên , nó hơn camera thông thường ở chỗ nó có thể phản ứng lại các kiểu tấn công bằng cách tạo ra các alarm message, gửi đến network administrator thông qua một "console" gọi là CSPM ( nếu của Cisco ) hoặc báo cho các thiết bị mạng như PIX firewall, router để các thiết bị này chặn các session đó lại. IDS có khả năng dò ra những kiểu tấn công như reconnaissance attack , access attack và denial of service attack... 1. Các phương pháp nhận diện: Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia làm ba phương pháp nhận diện chính là: Signature-base Detection, Anormaly-base Detection và Stateful Protocol Analysis. 1.1. Nhận diện dựa vào dấu hiệu (Signature-base Detection): Signature-base Detection sử dụng phương pháp so sánh các dấu hiệu của đối tượng quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với các mối nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh (evasion techniques), hoặc các biến thể. Signature-based Detection không thể theo vết và nhận diện trạng thái của các truyền thông phức tạp. 1.2. Nhận diện sự bất thường (Abnormaly-base Detection): Abnormaly-base Detection so sánh định nghĩa của những hoạt động bình thường và đối tượng quan sát nhằm xác định các độ lệch. Một hệ IDS sử dụng phương pháp Anormaly-base detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian. Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụng phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng để phát hiện ra những bất thường. Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic: - Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở nên không chính xác, và cần phải được tái tạo định kỳ. - Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung được quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng kỹ thuật giấu (evasion techniques). Ưu điểm chính của phương pháp này là nó rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa được biết đến. Abnormaly-base và Signature-base 1.3. Phân tích trạng thái giao thức (Stateful Protocol Analysis): Phân tích trạng thái protocol là quá trình so sánh các profile định trước của hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ lệch. Khác với phương pháp Anomaly-base Detection, phân tích trạng thái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đó quy định 1 protocol nên làm và không nên làm gì. "Stateful" trong phân tích trạng thái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vận chuyển, và các giao thức ứng dụng có trạng thái. Nhược điểm của phương pháp này là chiếm nhiều tài nguyên do sự phức tạp trong việc phân tích và theo dõi nhiều phiên đồng thời. Một vấn đề nghiêm trọng là phương pháp phân tích trạng thái protocol không thể phát hiện các cuộc tấn công khi chúng không vi phạm các đặc tính của tập các hành vi chấp nhận của
giao thức. 2. Cơ chế bảo mật: Các cơ chế bảo mật khác nhau được sử dụng nhằm tăng cường các thuộc tính của chính sách bảo mật. Tùy vào kiểu tấn công mà ta sử dụng các cơ chế khác nhau nhằm thỏa mãn yêu cầu đặt ra. Có 3 cơ chế chính để chống lại tấn công đó là phát hiện, ngăn chặn và phòng tránh tấn công. 2.1. Phát hiện tấn công: Cơ chế phát hiện tấn công giả sử rằng kẻ tấn công có thể nhận được quyền truy nhập tới đối tượng và thành công trong việc xâm phạm vào cơ chế bảo mật xác định. Cơ chế này dựa trên giả thiết rằng hầu hết thời gian, thông tin được truyền mà không bị gián đoạn, khi một hành động không mong muốn xảy ra, cơ chế phát hiện tấn công cảnh báo rằng có điều bất ổn xảy ra và thực hiện hành động tương ứng. Thêm nữa, nó thường được thiết kế để nhận dạng kiểu tấn công. Thường nó không chỉ được thiết kế để thông báo phát hiện hành động có ý đồ xấu, mà một số hệ thống còn yêu cầu các tác động của việc tấn công được khôi phục lại hay cuộc tấn công bị ngăn chặn. Điểm mạnh của cơ chế này là nó có thể hoạt động ở trạng thái xấu nhất là kẻ tấn công có thể xâm nhập vào hệ thống và có thể sử dụng hay thay đổi tài nguyên. Điểm yếu của nó là việc phát hiện tấn công không đảm bảo tính cẩn mật của dữ liệu. Khi chính sách bảo mật xác định được sự vi phạm nghiêm trọng tới dữ liệu thì cơ chế phát hiện tấn công không phải là cơ chế thích hợp lúc đó. Hình 2.6: Quản lý và phát hiện tấn công trong mạng 2.2. Ngăn chặn tấn công: Ngăn chặn tấn công là cơ chế bảo mật bao gồm phương pháp ngăn chặn hay phòng thủ trước một kiểu tấn công xác định khi nó xảy ra trên đối tượng cần bảo vệ. Một yếu tố quan trọng của cơ chế này là điều khiển truy nhập, cơ chế được thực hiện trên nhiều cấp độ khác nhau như hệ điều hành, mạng hay lớp ứng dụng. Điều khiển truy nhập giới hạn và điều chỉnh quyền truy nhập tới những tài nguyên quan trọng. Nếu kẻ tấn công không có quyền sử dụng đối tượng thì sẽ bị từ chối truy nhập tới tài nguyên đó. Do truy nhập là điều kiện tiên quyết cho tấn công, việc can thiệp đó cũng ngăn chặn được tấn công. Hình 2.7: Tăng cường chính sách bảo mật hệ thống với điều khiển truy nhập Dạng điều khiển truy nhập thông dụng nhất được sử dụng trong hệ thống máy tính đa người sử dụng là sử dụng Access List Control cho tài nguyên dựa trên các người sử dụng và nhóm người sử dụng. Việc nhận dạng người dùng được thực hiện bằng tiến trình xác thực mà thường yêu cầu tài khoản và mật mã. Tiến trình đăng nhập thực hiện việc so sánh mật mã (hay hash của mật mã) tương ứng với tài khoản. Nếu chúng khớp nhau, hệ thống sẽ cho phép đăng nhập với quyền tương ứng với người dùng và nhóm người dùng đó trong hệ thống. Khi có yêu cầu tài nguyên, hệ thống sẽ tìm kiếm người dùng và nhóm người dùng trong ACL và cho phép hay từ chối truy nhập. Firewall là một hệ thống điều khiển truy nhập ở lớp mạng. Như đã nói ở trên, Firewall ngăn chặn tấn công từ bên ngoài bằng cách từ chối cố gắng kết nối từ những nhóm bên ngoài không được xác thực. Thêm nữa, nó còn có thể được sử dụng để ngăn chặn người dùng bên trong Firewall sử dụng một số dịch vụ không an toàn ở bên ngoài. 2.3. Phòng tránh tấn công: Đây là cơ chế bảo mật cho phép kẻ tấn công xâm nhập vào một số vùng tài nguyên xác định mà thông tin ở đó đã được sửa đổi để nó không thể sử dụng được đối với kẻ tấn công. Thông tin được xử lý từ phía người gửi trước khi truyền trên các kênh truyền thông và được người nhận xử lý sau đó. Trong khi thông tin được truyền trên kênh truyền thông, kẻ tấn công không thể sử dụng được nó. Tất nhiên là kẻ tấn công vẫn có thể làm gián đoạn việc truyền thông và ảnh hưởng đến tính sẵn sàng của thông tin.
Hình 2.8: Bảo mật truyền thông với cơ chế Tunneling Giải pháp thông dụng nhất cho cơ chế này là mã hóa thông tin. Thông tin được mã hóa trước khi truyền và được người nhận giải mã trở lại trạng thái ban đầu để sử dụng; trong quá trình truyền thông, kẻ tấn công không thể sử dụng được thông tin đã mã hóa. Hiện nay có hai mô hình mã hóa cơ bản là mã hóa khóa mật hay khóa đối xứng (Secret key Cryptography) và mã hóa khóa công khai (Public key Cryptography). Mã hóa khóa công khai sử dụng khóa có độ dài lớn, thuật toán phức tạp, có độ an toàn cao hơn nhưng thời gian mã hóa và giải mã chậm, thường sử dụng trong việc truyền khóa mật giữa các bên truyền thông. 3. Phản ứng: Hầu hết các công cụ phát hiện xâm nhập trái phép là thụ động, khi phát hiện được cuộc tấn công tạo ra cảnh báo nhưng không thực hiện biện pháp đối phó. Đòi hỏi người quản trị trực tiếp kiểm tra cảnh báo và thực hiện hành động phù hợp. Điều này có thể gây chậm trễ trong việc xử lý với các cuộc tấn công. Có một số IDS có khả năng thực hiện hành động như thay đổi trạng thái bảo mật để phản ứng lại với những cuộc tấn công. Các IDS này có thể thay đổi quyền của file, đặt thêm luật của tường lửa, ngừng tiến trình hay ngắt kết nối. Những hệ như vậy có hiệu quả rất lớn, nhưng cũng có thể bị kẻ tấn công lợi dụng để tự gây hại cho hệ, hay gây từ chối dịch vụ. III. CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA HỆ THỐNG IDS: 1. Kỹ thuật xử lý dữ liệu: 1.1. Hệ thống Expert (Expert systems): Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các hình thức tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. 1.2. Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection): Giống như phương pháp hệ thống Expert, Rule-Based Intrusion Detection dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Nên dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record). Một kịch bản tấn công có thể được mô tả, như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại. Ví dụ: Cisco Secure IDS, Emerald eXpert-BSM(Solaris) 1.3. Phân biệt ý định người dùng (User intention Identification): User intention identification mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp
với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra. 1.4. Phân tích trạng thái phiên (State-Transition Analysis): Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước. 1.5. Phương pháp phân tích thống kê (Statistical Analysis Approach): Đây là phương pháp thường được sử dụng. Hành vi người dùng-hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU... Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả. Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường. 2. Các kiểu tấn công thông dụng: 2.1. Tấn công từ chối dịch vụ (Denial of Service Attack): Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến full-blown packet storm, Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể tiếp cận và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng. - Network flooding bao gồm SYN flood, Ping flood hay multi echo request… - Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới hệ thống và thiết bị, chúng có thể được tạo ra bằng các công cụ tấn công được lập trình trước. - Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang web… Ví dụ: một email rất dài hay một số lượng lớn email, hay một số lượng lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng đó. Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được các tấn công dạng gói tin. 2.2. Quét và thăm dò (Scanning and Probe): Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa, nhưng chúng có thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon. Việc thăm dò có thể được thực hiện bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP và UDP để phát hiện ra ứng dụng có những lỗi đã được biết đến. Vì vậy các công cụ này có thể là công cụ đắc lực cho mục đích xâm nhập. Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy hiểm trước khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong trường hợp này để có thể chống các kiểu tấn công như vậy trước khi có thiệt hại. Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng. Hình 2.9: Chính sách bảo mật theo chiều sâu 2.3. Tấn công vào mật mã (Password attack):
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng. Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. Với bẻ khóa, kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử dụng được để xác định mã đúng. Với tốc độ máy tính hiện nay, việc bẻ khóa là rất hiệu quả trong trường hợp mật mã là từ có nghĩa (trong từ điển), bất cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị. Hiện nay, Internet cung cấp rất nhiều chương trình “password hackerware” có thể tải về và sử dụng dễ dàng. Các công cụ trên cũng được các kỹ sư sử dụng với những mục đích tốt như tìm lại mật mã, hay tìm kiếm các thông tin cần thiết cho quá trình điều tra tội phạm… - Ta có ví dụ về trộm mật mã như nghe trộm mật mã gửi trên mạng (LOPHT2.0), gửi thư, chương trình có kèm keylogger, trojan cho người quản trị; ngoài ra không thể không kể tới các phương thức tấn công vào yếu tố con người như nhìn trộm, dùng vũ lực ép buộc… - Dự đoán và bẻ khóa ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài khoản khách rồi chiếm quyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa từ các từ trong từ điển, ta có một số công cụ như LOPHT Crack, pwldump… Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhưng nó không có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa mật mã hay chạy các chương trình bẻ khóa. Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật mã cũng như phát hiện truy nhập trái phép tới file chứa mật mã. 2.4. Chiếm đặc quyền (Privilege-grabbing): Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là “Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền: - Đoán hay bẻ khóa của root hay administrator - Gây tràn bộ đệm - Khai thác Windows NT registry - Truy nhập và khai thác console đặc quyền - Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng. Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ. Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS có thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảy ra. Hình 2.10: Sensor IDS nhận dữ liệu về cuộc tấn công 2.5. Cài đặt mã nguy hiểm (Hostile code insertion): Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau: - Virus : chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file hệ thống, file của ứng dụng hay dữ liệu. Virus thường được xác định nhờ vào những hành động có hại của chúng, có thể được kích hoạt dựa trên sự kiện, ngày…
- Trojan Horse : một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành động tự động, thường có hại, nhưng không có mục đích nhân bản. Thường thì Trojan Horse được đặt tên hay mô tả như một chương trình mà người ta muốn sử dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ thống. - Backdoor : đây là một loại Trojan đặc biệt thực hiện việc thay thế một chương trình có sẵn bằng một chương trình cho phép kẻ xâm nhập truy nhập được vào hệ thống trong tương lai (như “msgina.dll” trên Windows NT). - Malicious Apple : đây cũng là một loại Trojan, chúng thường là Java hay ActiveX applet mà người dùng có thể gặp khi duyệt các trang web. Applet đó có vẻ như thực hiện các chức năng bình thường nhưng ẩn trong đó là các hành động nguy hiểm như tải file lên web site của kẻ tấn công. Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả nhất để giảm mức độ nguy hiểm. Các file quan trọng được quản lý bằng Host IDS có thể đảm bảo rằng chương trình và file quan trọng của hệ điều hành không bị điều khiển. Kết hợp với các sự kiện khác, IDS có thể xác định được cố gắng cài đoạn mã nguy hiểm, ví dụ như nó có thể phát hiện được ai đó định thay chương trình ghi log bằng một backdoor. Network-based IDS cũng có thể được chỉ thị để quản lý hệ thống và file ảnh cho mục đích kiểm tra tính toàn vẹn. 2.6. Hành động phá hoại trên máy móc (Cyber vandalism): Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động và chương trình hệ điều hành, format ổ đĩa. Giải pháp của IDS: Đối với giải pháp của Host-based IDS, cài đặt và cấu hình cẩn thận có thể xác định được tất cả các vấn đề liên quan đến cyber vandalism. Ví dụ như mọi thay đổi đối với trang web có thể được ghi lại tại biên bản kiểm kê của thiết bị mà trang web nằm trên đó. Không chỉ được cấu hình để quản lý mọi thay đổi trên trang web, Host-based IDS còn có thể thực hiện các hành động đối phó, là những hành động được Security Administrator cấu hình. Network-based IDS thì có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trang web. 2.7. Ăn trộm dữ liệu quan trọng (Proprietary data theft): Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng đều xảy ra ngay trong tổ chức đó, số các cuộc tấn công từ bên ngoài đã liên tục tăng trong một vài năm qua. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Giải pháp của IDS: Mô hình Host-based IDS thực hiện việc quản lý các dữ liệu quan trọng có thể phát hiện các file bị sao chép bất hợp pháp. Trong một số trường hợp IDS có thể dựa vào biên bản của hệ điều hành, nhưng trong nhiều trường hợp việc ghi biên bản có chứa quá nhiều overhead (như với Winddows NT). Trong các trường hợp đó, Host-based IDS cần phải thực hiện việc quản lý riêng biệt với các file quan trọng. Còn Network-based IDS có thể được chỉnh sửa để quản lý việc truy nhập vào các file quan trọng và xác định việc truyền thông có chứa key word. Trong một số trường hợp rất khó có thể phát hiện được một host nghe trộm trên mạng, thì phần mềm IDS trên host đó có thể phát hiện được host đã bị đặt ở trạng thái ngẫu nhiên và đang nghe trộm việc tuyền thông. 2.8. Gian lận, lãng phí và lạm dụng (Fraud, waste, abuse): Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan đến kinh tế trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà băng, và thao túng chương trình kiểm tra viết (check writing). Lãng phí và lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho các công việc đi ngược lại với mục đích của tổ chức. Giải pháp của IDS: Network-based IDS có thể được thay đổi nhằm ngăn các URL, tuy nhiên các chương trình chuyên dụng để ngăn URL có liên hệ với firewall có thể hoạt động hiệu quả hơn, có thể duy trì một danh sách URL động và chính sách lạm dụng dựa trên USERID. Host- based IDS có thể thực thi một chính sách do công ty đặt ra, các truy nhập trái phép và sửa đổi file hệ thống có thể được phát hiện thông qua host-based IDS cũng như network-based IDS. Bất cứ thay đổi có thể ngay lâp tức được ghi trong biên bản hệ thống, agent có thể dễ dàng theo dõi các hành động đó. Hình 2.11: HIDS rất có hiệu quả đối với Internal threat. 2.9. Can thiệp vào biên bản (Audit trail tampering):