Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng

  • 80 trang
  • file .pdf
ĐẠI HỌC Q U Ó C GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
N G U Y Ê N P H Ư Ơ N G C H ÍN H
G IA I P H A P P H A T H IẸ N V A
NG ĂN CH ẶN TRUY CẬP TRÁI
PHÉP VÀO M ẠNG
N g à n h : C ô n g n g h ệ T h ô n g t in
C h u y ê n n g à n h : T r u y ề n d ữ liệ u v à M ạ n g m á y t ín h
M ã s ố : 6 0 4 8 15
LU Ậ N V Ă N T H Ạ C s ĩ
NGƯỜI HƯỞNG DẦN KHOA HỌC: PGS-TS. Nguyễn Văn Tam
Hà Nội-2009
L Ờ I C Ả M Ơ N
L ờ i dầu tiê n , tôi x in c h â n th à n h c ả m om P G S . T S N g u y ễ n V ă n T a m . V iệ n c ô n g
ng h ệ th ô n a tin . n g ư ờ i đã g ợ i ý đề tà i v à tận tìn h h ư ớ n g d ần c h o tôi h o àn th ành lu ậ n v ă n
cao h ọ c n à y .
T ô i c ũ n g x in g ử i lờ i c ả m ơn ch â n th à n h tớ i P h ò n g đào tạo sau đ ạ i h ọ c v à c á c th ầ y
cô g iá o tro n g k h o a C ô n g n g h ệ - T r ư ờ n g Đ ạ i H ọ c C ô n s N g h ệ - Đ ạ i H ọ c Q u ố c G ia H à
N ộ i dã g iả n g d ạ y , tru y ề n đ ạt v à tạo d iề u k iệ n h ọ c tập tốt n h ấ t c h o tô i su ố t quá trìn h h ọ c
ca o h ọc c ũ n g n h ư th ờ i g ia n th ự c h iệ n lu ậ n v ă n c a o h ọ c .
H à N ộ i, th á n g 0 6 n ăm 2 0 0 9
N g u y ễ n P h ư ơ n g C h ín h
I
M Ụ C L Ụ C
LỜ I C Ả M ƠN
B Ả N C i C Á C T Ừ V I É T T Ắ T , K Ý H IỆ U
M ỤC LỰ C
M Ở Đ Ầ U ........................................................................................................................................................................................................ 1
Đ ặ t v ấ n đ ề ................................................................................................................................................................................................ 1
N ộ i d u n a củ a dề t à i ..........................................................................................................................................................................1
C ấ u trú c lu ận v ă n .............................................................................................................................................................................2
C H Ư Ơ N G 1. T Ồ N G Q U A N V Ề H Ệ T H Ố N G I P S ............................................................................................. 3
1.1 L ịc h s ử ra đ ờ i ................................................................................................................................................................................ 3
1.2 H ệ th ố n g I D S ................................................................................................................................................................................... 4
1.2.1 M ộ t hệ thốns, I D S b ao gồm c á c th ành p h ầ n ............................................................................................4
1 .2 .2 P h â n loại c á c hệ th ố n g I D S .................................................................................................................................... 5
1.2 .2 .1 N e tw o rk -b a se d In tr u s io n D e te c tio n S y s te m ( N I D S ) ........................................................... 5
1 .2 .2 .2 H o st-b a se d In tru s io n D e te c tio n S y s te m ( H I D S ) .....................................................................7
1 .2 .2 .3 H y b r id In tru s io n D e te c tio n S y s t e m ......................................................................................................8
1.3 H ệ th o n g I P S ................................................................................................................................................................................... 9
1.3.1 Phân loại IP S............................................................................................................. 10
1 .3 .2 C á c thành p hần c h í n h .................................................................................................................................................11
1.3 .2 .1 M o d u le p hân tíc h g ó i (p a c k e t a n a ly z e r ) ...................................................................................... 11
1 .3 .2 .2 M o d u le p hát h iệ n tấn c ô n g .......................................................................................................................11
1 .3 .2 .3 M o d u le p hản ứ n g ................................................................................................................................................14
1 .3 .3 M ô h ìn h h o ạt đ ộ n g ........................................................................................................................................................ 15
1 .3 .4 Đ á n h g iá hệ th ố n e I P S .............................................................................................................................................. 17
1 .4 . K ế t c h ư ơ n s ,.................................................................................................................................................................................. 18
C H Ư Ơ N G 2 : T ÌM H IÉ Ư V À N G H IÊ N c ứ u C Á C P H Ư Ơ N G P H Á P P H Á T H IỆ N
TÁN CÔN G TRO N G H Ệ T H Ố N G I P S .....................................................................................................................21
2 . 1 T o n s q uan v ề p h ư ơ n e p h á p p h át h iệ n bẩt t h ư ờ n a .................................................................................... 2 1
2.1.1 T h ế n à o là b ấ t t h ư ờ n g t r o n g m ạ n g ? .......................................................................................... 21
2 .1 .2 C á c n g u ồ n d ữ liệ u d ù n g c h o p h á t h iệ n b ất t h ư ờ n s ........................................................................ 2 2
2 .1 .2 .1 N e t w o rk P r o b e s ................................................................................................................................................... 23
2 .1 .2 .2 L ọ c s ó i tin c h o v iệ c p h â n tíc h lu o n a ( P a c k e t F ilt e r in g ) ...........................................23
2 .1 .2 .3 D ữ liệ u từ c á c g ia o th ứ c đ ịn h t u y ế n ..................................................................................................2 4
2 .1 .2 .4 D ữ liệ u từ c á c g ia o th ứ c q u ả n trị m ạ n s ........................................................................................ 2 4
2 .1 .3 C á c p hư ơna, p h áp p hát h iệ n b ất t h ư ờ n s ....................................................................................................25
2 .1 .3 .1 H ệ c h u v ê n g ia ( R u le - b a s e d ) .................................................................................................................2 5
2 .1 .3 .2 M ạ n g N a - ro n ( A r t if ic ia l N e u ra l N e t w o r k ) ...............................................................................2 7
2 .1 .3 .3 M á y trạ n g th ái h ữ u h ạ n ................................................................................................................................ 31
2 .1 .3 .4 P h â n tíc h th ố n g k ê ............................................................................................................................................ 3 2
2 .1 .3 .5 M ạ n g B a y e s .............................................................................................................................................................3 4
2 .2 . K ế t c h ư ơ n a ....................................................................................................................................................................................35
C H Ư Ơ N G 3: P H Ư Ơ N G P H Á P P H Á T H IỆ N B Á T THƯ Ờ N G D ự A TRÊN KH A I
P H Á D ừ L I Ệ U .....................................................................................................................................................................................3 6
3.1 K h a i p h á dữ l i ệ u ........................................................................................................................................................................3 6
3 .2 C á c th u ậ t toán p h át h iệ n bất th ư ờ n g tro n a k h a i p h á p d ừ l i ệ u ......................................................3 9
3 .2 .1 Đ á n h g iá c h u n a v ề h ệ t h ố n g ............................................................................................................................... 39
3 .2 .2 P h ầ n tử d ị b iệ t ....................................................................................................................................................................41
3 .2 .2 .1 P h ư ơ n g p h áp đ iể m lâ n c ậ n g ầ n n hất ( N N ) ................................................................................4 2
3 .2 .2 .2 P h ư ơ n g p h áp p h á p h iệ n đ iể m d ị b iệ t d ự a trê n k h o ả n g c á c h M a h a la n o b is 4 3
3 .2 .2 .3 T h u ậ t to án L O F .................................................................................................................................................... 4 4
3 .2 .2 .4 T h u ậ t to án L S C - M i n e .................................................................................................................................... 4 8
3 .3 M ô h ìn h p hát h iệ n bất th ư ờ n g d ự a trê n k ỹ th u ậ t K J P D L ...................................................................5 0
1
3.3.1 M o d u l e lọ c t i n ..................................................................................................................................... 51
3 .3 .2 M o d u le tríc h x u ấ t th ô n e t i n ................................................................................................................................ 51
3 .3 .3 M ô đ u n phát h iệ n p hần tử di b iệ t.................................................................................................................... 52
3 .3 .4 M o d u le p hản ứ n g ..........................................................................................................................................................55
3 .3 .5 M o d u le tổ n g h ợ p ..........................................................................................................................................................55
3 .4 G iớ i th iệ u v ề hệ th ố n g p hát h iệ n x â m n hập M I N D S ........................................................................... 58
3 .4 .1 G iớ i th iệu hệ th ố n g .....................................................................................................................................................58
3 .4 .2 S o sánh S N O R T v à M I N D S ..............................................................................................................................6 4
3 .4 .3 .1 T ấ n c ô n g d ự a trê n n ộ i d u n e ....................................................................................................................6 4
3 .4 .3 .2 H o ạ t độ n g s c a n n in g ......................................................................................................................................65
3 .4 .3 .3 X â m p h ạm c h ín h s á c h .................................................................................................................................6 6
3 .5 K Ì t c h ư ơ n g ..................................................................................................................................................................................6 6
K É T L U Ậ N ........................................................................................................................................................................................... 6 8
H ư ớ n g phát triể n c ủ a lu ặn v ă n : ..................................................................................................................................69
T À I L IỆ U T H A M K H Ả O
II
B Ả N G C Á C T Ù V IẾ T T Ắ T , K Ý H IỆ U
T ừ v iế t tắ t Đ ầ y đủ T iế n g V iệt
IP S In tr u s io n P re v e n s io n S y s te m H ệ th ổ n a n a ă n c h ặ n tru y cập trá i p h ép
ID S In s tru s io n D e te c tio n S y s te m H ệ th ố n g p hát h iệ n tr u y cập trá i p h ép
N ID S N e tw o rk - b a s e d In tru s io n H ệ th ố n g p h á t h iệ n tru y cập c h o m ạ n g
D e te c tio n S y s te m
H 1D S H o s t-b a se d In tru s io n H ệ th ố n g p h át h iệ n tru y cập c h o m á y trạ m
D e te c tio n S y s t e m
O O B IP S O u t o f b an d In tru s io n H ệ th ố n g I P S b ố t r í b ên n go ài
P re v e n s io n S y s te m
In - lin e I P S In lin e In tru s io n P re v e n s io n H ệ th ố n g IP S bố trí th ẳ n g h àng
S y s te m
UDP U s e r D a ta g ra m P ro to c o l G ia o th ứ c tru y ề n d ừ liệ u U D P
TCP T r a n s m is s io n C o n tro l G ia o th ứ c tru y ề n d ừ liệ u T C P
P ro to c o l
FTP F i l e T r a n s f e r P ro to c o l G ia o th ứ c tru y ề n f ile F T P
DNS D o m a in N a m e S e r v e r D ịc h v ụ p h â n g iả i tên m iề n
ROC R e c e v ie r o p e r a tin g Đ ư ờ n a c o n g đ ặ c trư n a, hoạt độ n g
C h a r a c t e r is t ic C u r v e
DoS D e n ia l o f S e r v ic e T ấ n c ô n g từ c h ổ i d ịc h v ụ
O SPF O p e n sh o rte st p ath fir s t G ia o th ứ c đ ịn h tu y ế n O S P F
SN M P S im p le N e t w o rk T ậ p h ớ p g ia o th ứ c q u ả n lý m ạ n g đ ơ n g iả n
M a n a g e m e n t P ro to c o l
M IB M a n a g e m e n t in fo rm a tio n C ơ s ở q u ả n lý th ô n g tin
b a se
FC M F u z z y c o g n itiv e m ap B ả n đồ n h ậ n th ứ c m ờ
M LP M u lt i- la y e r e d P e rc e p tro n K iế n trú c n h ậ n th ứ c đa tầng
SO M S e lf - O r g a n iz in g M a p s B ả n đồ tổ c h ứ c đ ộ c lậ p
II
FSM F in it e sta te s m a c h in e M á y trạ n g th á i h ữ u h ạn
ID E S In tr u s io n D e te c tio n E x p e r t H ệ th ố n g c h u y ê n g ia p hát h iệ n tru y c ậ p
S y s te m trá i p h é p
N ID E S N e x t G e n e ra tio n In tr u s io n T h ế h ệ tiế p th eo c ủ a hệ thống c h u y ê n g ia
D e te c tio n E x p e r t S y s t e m p h á t h iệ n tru y cập trá i phép
EM ERA LD E v e n t M o n it o rin g E n a b lin g H ệ th ố n g p h á t h iệ n tru y cập E M E R A L D
R e s p o n s e s to A n o m a lo u s
L i v e D is tu rb a n c e s
LO F L o c a l O u t lie r F a c t o r N h â n tố dị b iệ t đ ịa p h ư o n e
M IN D S M in n e s o ta In tr u s io n H ệ th ổ n g p h á t h iệ n tru y cập M in n e s o ta
D e te c tio n S y s te m
Ill
T H Ô N G T IN H ÌN H V Ẽ / B Ả N G
Hình vẽ/bảng Trang
H ìn h 1.1 : H ệ th ố n g N e tw o rk -b a s e d In tru s io n D e te c tio n 6
H ìn h 1.2 : H ệ th ố n g H o st-b a se d In tru s io n D e te ctio n 8
H ìn h 1 .3 : H ệ th ố n g H y b r id In tru s io n D e te c tio n 9
H ìn h 1.4 : M ô h ìn h th ê m lu ậ t p h ư ơ n e pháp phát h iệ n d ựa trên dấu 12
h iệ u
H ìn h ỉ .5 : M ô h ìn h th êm lu ậ t p h irơ n a p háp phát h iệ n d ự a trên phát 13
h iệ n bất th ư ờ n g
H ìn h 1 . 6 : M ô h ìn h hoạt đ ộn g củ a hệ th ố n g IP S 15
H ìn h 1.7 : M in h họa đ ư ờ n g co n g R O C 18
H ìn h 2 .1 : M ô h ìn h hệ th ố n g phát h iệ n bất th ư ờ n g d ự a trên tập lu ật 26
H in h 2 .2 : M ô h ìn h m ạ n g n ơ ro n 27
H ìn h 2 .3 : c ấ u trú c m ộ t hệ th ố n g p hát h iệ n bất th ư ờ n g s ử d ụ n g S O M 29
H ìn h 2 .4 : C ô n g th ứ c c h u ẩ n hóa d ữ liệ u đầu và o 30
H ìn h 2 .5 : T h iế t kế c ủ a m ạ n g S O M 30
H ìn h 2 .6 : M ô h ìn h F S M c h o kế t n ổ i T C P 31
H ìn h 3 .1 : G á n g iá trị để lư ợ n g hóa c á c c u ộ c tấn cô n g trên s ơ đồ 40
H ìn h 3 .2 : M in h h ọ a b à i to án phát h iệ n p h ầ n tử dị b iệ t. 41
H ìn h 3 .3 : M in h họa p h ư ơ n g p háp đ iể m lâ n cận gần n hất phát h iệ n 43
p h ầ n từ dị b iệ t.
H ìn h 3 .4 : Ư u đ iể m c ủ a p h ư ơ n s; p h áp d ự a trèn k h o ả n g c á c h 44
M a h a la n o b is k h i tín h c á c k h o ả n g c á c h .
H ìn h 3 .5 : V í dụ k h o ả n g c á c h R - d is (re a c h -d ist) 45
H ìn h 3 .6 : Ư u đ iể m c ủ a p h ư ơ n s, p háp L O F 47
H ìn h 3 .7 : T h u ậ t to án L S C - M in e 50
H ìn h 3 .8 : M ô h ìn h hệ th ố n g phát h iệ n bất th ư ờ n g s ử dụn g k ỹ thuật 50
KPDL
H ìn h 3 .9 : Đ ư ờ n g c o n g R O C c ủ a c á c th uật toán 54
Ill
Hình 3.10: Mô tả hoạt động của môđun tổng hợp 56
Hình 3.11: Mô hình hoạt động của hệ thống MINDS 59
Hinh 3.12: Bàng kết quả đầu ra của hệ thống MINDS - cột đầu tiên là 62
giá trị bất thường
Bảng 3.1 : Danh sách các cảnh báo chưa rút aọn 57
Bảng 3.2: Danh sách các cảnh báo sau khi đã rút gọn 58
Bảng 3.3: Nhữne đặc điểm chọn “dựa trên thời gian” 60
Bảng 3.4: Nhữna đặc điểm chọn “dựa trên kết nối” 60
1
M Ở ĐẦU
Đăt
« vấn đề
Vấn đề an toàn, an ninh mạng không mới nhưns càng neày càna trở nên quan
trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin. Lấy ví
dụ đơn aiản như eần đây rất nhiều trang web, các hệ thống mạng ở Việt Nam bị hacker
tấn công gây hậu quả đặc biệt nghiêm trọna. Hon nữa các cuộc tấn công hiện nay ngày
một tinh vi, phức tạp và có thể đến từ nhiều hướng khác nhau. Trước tình hình đó các
hệ thống thông tin cần phải có những chiến lược, những giải pháp phòng thủ theo
chiều sâu nhiều lớp.
IPS (Intrusion Prevension System - Hệ thống ngăn chặn truy nhập trái phép) là
một hệ thống có khả năne phát hiện trước và làm chệch hướng những cuộc tấn công
vào mạng. IPS dáp ứng dược yêu cầu là một hệ thống phòng thủ chiến lược theo chiều
sâu, nó hoạt động dựa trên cơ sở thu thập dừ liệu mạng, tiến hành phân tích, đánh giá,
từ đỏ xác định xem có dấu hiệu của một cuộc tấn công hay không đế đưa ra các cảnh
báo cho các nhà quản trị mạng hoặc tự động thực hiện một số thao tắc nhằm naãn chặn
hoặc chấm dứt tấn công.
Các hệ thống IPS hiện nay có hai hướng tiếp cận chính là dựa trên dấu hiệu và
dựa trên phát hiện bất thườne. Đổi với hướng dựa trên dấu hiệu, hệ thống sẽ sử dụng
các mẫu tẩn công từ các lần tấn công trước tiến hành so sánh để xác định dừ liệu đane
xét có phải là một cuộc tấn công không, hướng này được sử dụne, tương đối rộng rãi
nhưng có điểm yếu là chỉ phát hiện được các dạng tấn công đã biết trước. Đổi với
hướng dựa trên phát hiện bất thường, hệ thống sẽ xây dựng các hồ sơ mô tả trạng thái
bình thường, từ đó xét được một hành động là bất thường nếu các thông số đo được
của hành động đó có độ khác biệt đána kể với mức “bình thường”. Hướng tiếp cận này
có nhiều ưu điểm hơn cách tiếp cận dựa trên dấu hiệu do nó có khả năne phát hiện ra
các cuộc tấn công mới.
Nội dung của đề tài
Xuất phát từ vẩn đề nêu trên, nội dung của đề tài sẽ bao gồm những vấn đề sau:
2
- Nghiên cứu, tìm hiểu các vấn dề tông quan về hệ thống IPS bao gồm phân loại,
chức năna cơ bản và hoạt độne. các hướng phát triển.
Tìm hiểu hệ thống 1PS dựa trên phát hiện bất thườna. phàn tích ưu nhược điểm
của hướng tiếp cận này. Nghiên cứu các kỳ thuật được sữ dụne như: Phàn tích
thống kê, mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn, Khai phá dữ
liệu ....
Nghiên cứu cụ thể một kỹ thuật sử dụng trong phát hiện bất thường đó là kỹ thuật
Khai phá dừ liệu (data mining). Đưa ra các đánh siá. so sánh hệ thống sử dụng kỹ
thuật nay so với các kv thuật khác.
Cấu trúc luận văn
Luận văn sẽ dược chia thành 3 chương chính dựa vào nội dung nêu trên:
Chươne, 1: Giới thiệu tổng quan về hệ thống IPS , những thành phần và chức
năng chính của hệ thống.
Chươníi 2: Tìm hiểu các phương pháp phát hiện tấn công dựa trên phát hiện bất
thườns đang được áp dụng hiện nay như: Phân tích thống kê, Mạng Neutral, Hệ
chuyên gia....
Chươnc 3: Tìm hiểu về kỳ thuật Khai phá dừ liệu cũng như hệ thống IPS có sử
dụng phương pháp phát hiện bất thường ứng dụng khai phá dữ liệu.
3
CHƯƠNG 1. TỎNG QUAN VÈ HỆ THÓNG IPS
1.1 Lịch sử ra đời
Hệ thống Firewall (tường lửa) cổ điển đã được ứne dụng trong hệ thống mạng để
bảo vệ mạng khỏi các cuộc tấn công hoặc truy nhập trái phép từ rất lâu. Tuy nhiên
trong quá trình hoạt động Firewall đã thể hiện nhiều nhược điểm cố hữu.
Thứ nhất, hệ thống Firewall là một hệ thống thụ động, Firewall hoạt động trên cơ
sở các tập luật, các luật trên Firewall phải được người quản trị cấu hình hay chi định
cho phép hay không cho phép £Ói tin đi qua. Bản thân hệ thống Firewall không thể
nhận biết được các mối nguy hại đến từ mạng mà nó phải được neười quản trị mạng
chỉ ra thông qua việc thiết lập các luật trên đó.
Thứ hai, Hệ thống Firewall hoạt động chủ yếu ở lớp mạng trở xuống, Firewall
naăn chặn các truy nhập thông qua các trường địa chỉ IP đích và nguồn, các cổng dịch
vụ (TCP/UDP), một số Firewall còn ngăn chặn ở krp vật lv ihône qua địa chỉ MAC
Address. Như vậy, các thông tin mà Firewall dùng để ngãn chặn các truy nhập là ở
trong phần tiêu đề của gói tin, Firewall cổ điển không thể đọc thông tin trong phần tải
của gói tin (Pay Load) là nơi chứa nội dung thông tin được truyền đi, nơi tiềm ấn các
mã nguy hiểm gây hại cho hệ thống.
Thứ ba, do không có khả năng đọc nội dung gói tin nên hệ thống Firewall chỉ có
khả năng bảo vệ vòng ngoài của hệ ihổng, bản thân I1Ó không có khả năng chổng các
cuộc tấn công xuất phát từ bên trong mạng.
Trong bối cảnh đó, IDS ra đời như là một sự bổ sung cho hệ thống Firewall cổ
điển. 1DS có khả năng bắt và đọc eói tin. phân tích gói tin để phát hiện ra các nguy cơ
tấn công tiềm ẩn trong nội dung của gói tin. Tuy nhiên IDS lại chỉ sinh ra các cảnh báo
cho hệ thổng hoặc cho người quản trị mạng, có nghĩa hoạt động IDS chỉ mang tính
chất cảnh báo và trợ giúp thông tin cho người quản trị mạng, căn cứ trên các thông tin
cành báo về bảo mật. người quản trị mạng phải tiến hành ra lệnh cho Firewall ngăn
chặn cuộc tấn cône. Như thế bản thân hệ thống IDS vần là một hệ thống thụ động.
IDS là sự bổ sung cần thiết cho hệ thống an ninh cổ điển, tuy nhiên nó chưa triệt
để. do đó người ta phải kết hợp hoạt động của ỈDS với hệ thống Firewall để tạo ra một
4
hệ thống an ninh có khả nănu phát hiện dấu hiệu các cuộc tấn công và chủ động n2 ăn
chặn các cuộc tấn công đó. Hệ thống như vậv được biết đến với cái tên hệ thốne ngăn
chặn truy nhập IPS. Các phần tiếp theo sẽ trình bày về cấu trúc cũne như hoạt động
của hệ thống IDS và IPS.
1.2 Hệ thống IDS
IDS là từ viết tắt tiếng anh cùa Intrusion Detection System hay còn gọi là hệ
thống phát hiện các truy nhập trái phép. IDS có nhiệm vụ rà quét các gói tin trên mạng,
phát hiện các truy nhập trái phép, các dấu hiệu tẩn công vào hệ thổng từ đó cảnh báo
cho người quán trị hay bộ phận điều khiển biết về nauy cơ xảy ra tấn cống trước khi
nó xảy ra.
Một hệ thống phát hiện các truy nhập trái phép có khả năn2 phát hiện tất cả các
luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thể phát hiện được.
Thông thường các cuộc tấn công trên mạng thuộc các kiểu tẩn công: từ chối dịch vụ,
phá hoại các dữ liệu trên các ứng dụng, các cuộc tấn công vào máy trạm như thay đổi
quyền trên máy, đăna nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là
các loại Virus, Trojan, Worin độc hại khác.
1.2.1 Một hệ thống IDS bao gồm các thành phần
- Bộ phát hiện (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả
năng đe dọa an ninh của hệ thống mạng, bộ phát hiện có chức năng rà quét nội
dung của các gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện ra các
dấu hiệu tẩn công hay còn gọi là sự kiện.
Bộ giao diện (Console):Là bộ phận làm nhiệm vụ giám sát các sự kiện, các cảnh
báo được phát hiện và sinh ra từ các Sensor và điều khiển hoạt động của các bộ
Sensor.
- Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được
phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các
luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ thống hoặc
cho nsười quản trị.
Như vậy, hệ thống IDS hoạt độne theo cơ chế “phát hiện và cảnh bảo”. Các
Sensor là bộ phận được bộ trí trên hệ thống tại nhữns điểm cần kiểm soát, Sensor bất
5
các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tẩn công, nếu gói tin có dấu
hiệu tấn công, Sensor lập tức dánh dấu đấy là một sự kiện và gửi báo cáo kết quà về
cho Engine, Engine ghi nhận tất cả các báo cáo của tất cả các Sensor, lưu các báo cáo
vào trong cơ sờ dữ liệu của mình và quyết định đưa ra mức cảnh báo đổi với sự kiện
nhận được. Console làm nhiệm vụ giám sát các sự kiện và các cảnh báo, đồng thời
điều khiển hoạt động của các Sensor.
Các mẫu (Signatures): Các Sensor hoạt động theo cơ chế “so sánh với mẫu”,
các Sensor bẳt các gói tin trên mạnơ, đọc nội dung gói tin và so sánh các xâu trong nội
dung gói tin với hệ thổng các mẫu tín hiệu nhận biết các cuộc tấn công hoặc mã độc
gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng với mầu, Sensor
đánh dấu đó là một sự kiện bình thường hay đã có dấu hiệu của sự tấn công từ đó sinh
ra cảnh báo. Các tín hiệu nhận biết các cuộc tẩn côna, được tổng kết và tập họp thành
một bộ gọi là mẫu hay signatures. Thôna thường các mẫu này được hình thành dựa
trên kinh nghiệm phòng chống các cuộc tấn công, người ta thành lập các trung tâm
chuyên nghiên cứu và đưa ra các mẫu này để cung cấp cho hệ thống IDS trên toàn thế
giới.
1.2.2 Phân loại các hệ thống IDS
Có nhiều mô hình và cách để phân loại các hệ thống IDS, có thể dựa theo loại và
vị trí đặt của các Sensor hoặc phươne pháp sử dụng của Enejne để sinh ra các cảnh
báo. Hầu hết các IDS đơn aiản đều kết hợp ba thành phần Sensor, Console, Engine vào
trong một thiết bị phần cứng hoặc một ứng dụng.
1.2.2.1 Network-based Intrusion Détection System (NIDS)
Network-based Instrusion Détection System (Hệ thống phát hiện truy nhập cho
mạng) là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm tra
các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network Instrusion
Détection Systems truy nhập vào luồng thông tin trên mạng bàng cách kết nối vào các
Hub, Switch được cấu hình Port mirroring hoặc Network tap để bắt các gói tin, phân
tích nội dung gói tin và từ đó sinh ra các cảnh báo.
6
Hình 1.1: Hệ thống Network-based Intrusion Detection
Port mirroring được sử dụng trong một switch mạng để gửi một bản sao của tất
cả các gói tin trên mans, khi nó đi qua cổng của Switch tới một thiết bị giám sát mạng
trên cổng khác cùa Switch đó. Nó thường được sử dụng đế các thiết bị mạng cần giám
sát luồng trên mạng, ví dụ hệ thống IDS, Port mirroring trên Switch của Cisco System
thường được gọi là Switched Port Analyzer (SPAN) hoặc của 3Com là Roving
Analysis Port (RAP).
Network tap là một thiết bị phần cứng cung cấp phương tiện để truy nhập vào
luồng dừ liệu đi ngang qua một máy tính mạng. Các máy tính mạng bao gồm cả
Internet là một tập hợp các thiết bị như máy tính, router, switch và nối với các hệ
thống khác. Các kết nối có thể được tạo ra bàng nhiều công nghệ khác nhau như là
Etherenet, 802.11, FDDI và ATM. Trong nhiều trường hợp nỏ được xem như là một
thành phần thứ 3 để giám sát luồng dữ liệu trao đổi giữa hai điểm trên mạng, điểm A
và điểm B. Nếu mạng giữa điểm A và điểm B chứa một kết nối vật lý, một network tap
là giải pháp tốt cho việc giám sát. Network tap có ít nhất là 3 cổng kết nối, một cổng
A, một cổng B, và một cổng giám sát. Để đặt Network tap giữa điểm A và điểm B, cáp
mạng giữa hai điểm A, B được thay thế bằng một cặp dây, một dây đấu vào cổng A và
dây kia đấu vào cổng B. Network tap cho qua tất cả các dữ liệu giữa A và B vì thế giao
tiếp giữa hai điểm A và B vẫn diễn ra bình thường, tuy nhiên dữ liệu trao đối đã bị
Network tap sao chép và đua vào thiết bị giám sát thông qua cống giám sát.
7
Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensor
được đặt ở các điểm cần kiểm tra trong mạna. thườne là trước mien DMZ hoặc ờ vùng
biên của mạng, các Sensor bắt tất cả các gói tin lưu thôna trên mạng và phân tích nội
dung bên trong của từne. gói tin để phát hiện các dấu hiệu tấn công trong mạng.
Theo chức năna sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ
dó là Protocol-based Intrusion Detection System (PIDS - Hệ thổng phát hiện truy cập
dựa trên giao thức) và Application Protocol-based Intrusion Detection System (APIDS
- Hệ thống phát hiện truy nhập dựa trên ứng dụng). PIDS và AP1DS được sử dụng để
giám sát các giao vận và giao thức không hợp lệ hoặc không mong muôn trên luông dừ
liệu hoặc hạn chế các ngôn ngừ giao tiếp. Hệ thống Protocol-based Intrusion Detection
System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường
được đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đổi giữa
các thiết bị được nối mạng (Một máy trạm hoặc một hệ thống).
Một hệ thống Application Protocol-based Intrusion Detection System (APIDS)
bao gồm một hệ thống (System) hoặc một thành phần (Agent) thường nằm giữa một
nhóm các máy chủ. giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao
thức định sẵn. Ví dụ; trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao
thức SQL đế ngăn chặn các truy nhập vào ứng dụng khi trao đổi với cơ sờ dữ liệu.
1.2.2.2 Host-based Intrusion Detection System (HIDS)
Trong hệ thống HIDS (Hệ thống phát hiện truy nhập dựa trên máy trạm), các
Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát
tất cả các hoạt động của máy trạm mà nó nằm trên đó.
Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent)
cài đặt trên các máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách
phân tích các trao đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp
tin trên hệ thống (Các file dạng binary, mật khẩu của file, dung lượng và các acl của
các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thốne để từ đó phát hiện ra
các dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép,
Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Ensine lun các báo cáo
8
của Asenl vào cơ sở dừ liệu và tiến hành phân tích thôn» tin để đưa ra các cành báo
cho neười quân trị hoặc hệ thong.
Hình 1.2: Hệ thống Host-based Intrusion Detection
1.2.2.3 Hybrid Intrusion Detection System
Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Network-
based IDS và Hệ thống Host-based IDS. Nó kết hợp một hoặc nhiều các thành phần
thích hợp của hai hệ thống lại với nhau. Các thông tin thu thập được trên máy trạm
(Host agent data) kết họp với thông tin thu thập được ở trên mạng để có được sự phân
tích một cách chi tiết về hiện trạng hệ thống mạng.
9
Private management network Private management networtc
IDS Management station
Hình 1.3: Hệ thống Hybrid Intrusion Detection
1.3 Hệ thống IPS
IPS là viết tất tiếng anh của Intrusion Prevention System hay thườne được gọi là
hệ thống ngăn chặn truy nhập trái phép.
Hiện nay, hệ thống IDS/IPS đã được triển khai rộng rãi trên toàn thế giới, với đặc
diêm mô hình triên khai đơn giản, cách thức phát hiện các truy nhập hiệu quả đã góp
phần nâne cao độ tin cậy cùa hệ thống an ninh.
IPS là hệ thống kết hợp giữa hệ thống IDS và hệ thổng Firewall, nó có ba thành
phần chính đó là: Hệ thống Firewall, hệ thống IDS và thành phần trung gian kết nối
hai hệ thong trên lại với nhau.
Firewall: là thành phẩn bảo vệ hệ thống mạng ờ vùng biên. Firewall căn cứ trên
tập luật mà nó được thiết lập từ trước để xác định cho phép hay không cho phép các
gói tin được hay khôna được phép đi qua nó.
IDS: làm nhiệm vụ rà quét tất cả các eói tin trước khi hoặc sau khi đi vào mạng,
đọc nội dung gói tin, phát hiện ra các dấu hiệu tấn công chứa đựng trong gói tin, nếu
phát hiện có dấu hiệu tấn công, nó sinh ra cảnh báo cho hệ thống.
Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận các cảnh báo
và thông tin đưa ra từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên
hệ thống Firewall để cấu hình lại tập luật trên đó nhằm ngăn chặn các cuộc tấn công.
10
Như vậy, hệ thốno IPS là một hệ thống chù động, có khả năna phát hiện và naan
ngừa các truy nhập trái phép, c ó khả năne neăn chặn các cuộc tấn côna. các nguy cơ
tiềm ẩn trong nội dung của gói tin. Vì vậy hình thành nên một thế hệ Firewall mới có
khả năne hoạt động ở lớp ứng dụng hay còn gọi là Application Layer Firewall.
1.3.1 Phân loại
■ IPS
Có nhiều cách để phân loại IPS, nhưiie thông thườne người ta dựa vào kiểu IDS
được sử dụna. như vậy chúng ta có các kiểu IPS phổ biến là NIPS (Network-based
Intrusion Prevention System) sử dụng trên cả một hệ thống mạng, HIPS (Host-based
Intrusion Prevention System) sử dụng trên các máy tính riêng lẻ, và Hybrid Intrusion
Prevention System kết hợp của 2 hệ thộng NIPS và HIPS.
IPS không đưn aiản chỉ dò các cuộc tấn công, chúng còn khả năng neăn chặn các
cuộc hoặc cản trờ các cuộc tẩn côna đó. Chúne cho phép tổ chức ưu tiên, thực hiện các
bước dể nạăn chặn lại xự xâm nhập. Phần lớn hệ thốna IPS được đặt ở vành đai mạng,
đủ khả năng bảo vệ tất cả các thiết bị trong mạne. Do đó nếu phân loại theo mô hình
triển khai sẽ có hai kiểu chính là out-of-band IPS và in-line IPS:
Out-of-band IPS (OOB IPS): hệ thống IPS dímg “dạng chân“ trên firewall. Như
vậy luồng dữ liệu vào hệ thổng mạng sẽ cùne đi qua firewall và IPS. IPS có thể
kiểm soát luồn dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập,
tấn công. Với vị trí này, OOB IPS có thể quản lý firewall, chi dẫn nó chặn lại các
hành động nghi ngờ.
In-line IPS: Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng trước
khi tới firewall. Điểm khác chính so với OOB IPS là có thêm chức năna, traffic-
blockina. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm
nhanh hơn so với OOB IPS. Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông
tin qua ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời
gian thực. Tổc độ họat động của hệ thống là một yếu tố rất quan trọng. Quá trình phát
hiện xâm nhập phải đủ nhanh đế có thể rmăn chặn các cuộc tấn công ngay lập tức. Neu
khône đáp ứns được điều này thì các cuộc tấn cône đã được thực hiện xong và hệ
thống IPS là vô nghĩa.
11
1.3.2 Các thành phần chính
Hệ thong IPS gôm 3 module chính: module phân tích gói, module phát hiện tấn
công ( kế thừa từ IDS), module phản ứng. Dưới dây ta xét cụ thể các module đó:
1.3.2.1 Module phân tích gói (packet analyzer)
Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card
mạng (NIC) của mảy giám sát được đặt ở chế độ “không phân biệt” (promiscuous
mode), tất cả các gói tin qua chúns dều được copv lại và chuyển lên lớp trên. Bộ phân
tích sói đọc thông tin từng trườne trona eói tin. xác định chúng thuộc kiểu gói tin nào,
dịch vụ gì... Các thông tin này được chuyển đến module phát hiện tấn công.
1.3.2.2 Module phát hiện tấn công
Đây là module quan trọng nhất trong hệ thống, có khả năne phát hiện các cuộc
tấn công. Nó chính ỉà hệ thống IDS mà chúns ta đã xem xét ở trên. Nó cCina, chính là
thành phần mà chúng ta áp dụng các phươne pháp khác nhau để cải tiển nhằm nâng
cao hiệu quà hoạt động. Việc nghiên cứu, tìm hiểu các phươna, pháp nhằm tăng khả
năng phát hiện tấn công chính là mục đích chính của luận văn này. Có một số phương
pháp để phát hiện các cuộc tấn công, xâm nhập đó là: Misuse Detection (dò sự lạm
dụng) và Anomaly Detection (dò sự không bình thường).
Misuse Detection:
Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện
giống với các mẫu tấn công đã biết trước. Thông thường hệ thống sẽ lưu trừ trong cơ
sờ dữ liệu những gói tin có liên quan đến kiểu tấn công từ trước dưới dạng so sánh
được, trong quá trình xử lý sự kiện sẽ được so sánh với các thông tin trong cơ sở dừ
liệu nếu giống hệ thổng sẽ đưa ra cánh báo hoặc ngăn chặn. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn cônR. Do vậy phươne pháp này còn được gọi là
phương pháp dò dẩu hiệu (Signature Detection).