Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

Nghiên cứu hệ thống phát

hiện xâm nhập mạng trái
phép IDS
Bởi:
Nguyễn Tiến An

Mục lục

Mục lục hình vẽ.

Danh mục từ biết tắt.

IDS: Intrucsion Detection System: Hệ thống phát hiện xâm nhập

NIDS: Netwosk - Based IDS: Một loại của IDS.

HIDS: Host - Based IDS: Một loại của IDS.

AAFID:Autonomous Agents for Intrusion Detection : các tác nhân tự trị cho việc phát
hiện xâm phạm.

LỜI NÓI ĐẦU

Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Internet
ngày càng phổ biến rộng rải cho mọi người để trao đổi thông tin trên mạng. Khả năng
kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng
tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội. Việc mất trộm
thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo,
tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty
và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn
là một vấn đề nóng hổi và được quan tâm đến trong mọi thời điểm.

Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn
trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn

1/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu,
các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới
nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với
sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phương
pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến yêu cầu phải có
một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống.

Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng
chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống
và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên
cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong
các chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập
trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế.
Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời
gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang
thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ
thống ở Việt Nam hiện nay.

Từ những vấn đề nêu trên, em thực hiện báo cáo thực tập này với mong muốn nghiên
cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép.

Em xin chân thành cám ơn các thầy cô hướng dẫn em tận tình để em hoàn thành báo cáo
thực tập này!

Hà Nội, tháng 3 năm 2011

1. IDS là gì?

Là một hệ thống nhằm phát hiện các hành động xâm nhập tấn công vào mạng. IDS phát
hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông
mạng hiện tại với basedline để tìm ra các dấu hiệu khác thường.

Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng
trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất, nhiều giao
thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền.
Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập
so với người dùng hợp lệ.

Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép đi qua, tìm kiếm các
dấu hiệu đã biết mà không thể kiểm tra hoặc ngăn chặn bởi Firewall. Sau đó cung cấp
thông tin và đưa ra các cảnh báo cho các quản trị viên.

2/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

IDS cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó
được đánh giá giá trị giống như Firewall và VPN là ngăn ngừa các cuộc tấn công mà
IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy,
IDS có thể thỏa mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn
về khả năng các cuộc tấn công và thỉnh thoảng thì ngoài những thông báo chính xác thì
chúng cũng đưa ra một số cảnh báo chưa đúng.

Phân biệt những hệ thống không phải là IDS: Theo một cách riêng biệt nào đó, các thiết
bị bảo mật dưới đây không phải là IDS:

Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công
từ chối dịch vụ trên một mạng nào đó. Ở đó có hệ thống kiểm tra lưu lượng mạng.

Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng.

Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus,
Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát
hiện xâm nhập và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

Tường lửa và các hệ thống bảo mật, mật mã như VPN, SSL,S/MINE, Kerberos,
Radius...

2. Chức năng của IDS

Nhìn chung, IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn những kẻ
khai thác một cách thành công, tuy nhiên , một sự phát hiện mới nhất của IDS đó là hệ
thống ngăn chặn xâm phập đã có thể thực hiện nhiều vai trò hơn và có thể ngăn chặn các
cuộc tấn công khi nó xảy ra. Định nghĩa IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS
được nhìn nhận như là một cái chuông báo trộm mà có thể thông báo cho bạn biết khi
nào thì bạn bị tấn công, Tuy nhiên những hệ thống IDS hiện đại thì phức tạp hơn nhiều
và ít người có thể đồng ý rằng có mức độ giống như một cái chuông báo trộm truyền
thống đáng tin cậy.Nếu sự giống nhau là cùng được sử dụng thì một hệ thống IDS trông
giống như những chiếc camera chống trộm hơn là một cái chuông, những người có trách
nhiệm có thể quan sát chúng và đáp trả cho những đe dọa xâm nhập.

Thực tế thì dường như IDS chỉ nói cho chúng ta biết rằng mạng đang bị nguy hiểm. Và
điều quan trọng để nhận ra đó là một vài cuộc tấn công vào mạng đã thành công nếu hệ
thống không có IDS.

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những
đe doạ với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin, bổ sung
những điểm yếu của hệ thống khác...Có nhiều tài liệu giới thiệu về những chức năng mà

3/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

IDS đã làm được nhưng có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS như
sau:

• Bảo vệ tính toàn vẹn của dữ liệu, đảm bảo sự nhất quán của dữ liệu trong hệ
thống . Các biện pháp đưa ra ngăn chặn được thay đổi bất hợp pháp hoặc phá
hoại dữ liệu.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn
được sự truy nhập thông tin bất hợp pháp.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả
dụng, tức la hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của
người dùng hợp pháp.
• Cung cấp thông tin về sự truy cập, đưa ra những chính sách đối phó, khôi phục
, sửa chữa...

Nhìn chung, hệ thống IDS có thể giúp chúng ta ngăn ngừa các sự kiện khi nó chưa sảy
ra, cung cấp các giải pháp cho mạng và cho host, và thậm chí cũng có thể hoạt động như
một cái chuông báo động. Tuy nhiên, chức năng chính của nó là thông báo cho bạn biết
về các sự kiện có liên quan đến an ninh hệ thống đang sắp sửa xảy ra bên trong mạng và
hệ thống mà bạn kiểm soát.

Hình 1: Chức năng của IDS

4/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

3. Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập

Chúng ta nhìn tổng quan về hệ thống IDS bao gồm cả điểm yếu và điểm mạnh của
chúng, chúng ta sẽ đề cập đến cả Network IDS (nhiều khi được đề cập đến như một
Sniffer) và Host IDS (phân tích nhật ký, kiểm tra tích hợp và nhiều thứ khác).

3.1 Network IDS_NIDS

Network IDS là hệ thống phát hiện xâm nhập mạng, nó bắt gói dữ liệu được truyền đi
trong môi trường mạng (cables, Wireless) và so sánh chúng với một số dấu hiệu xâm
nhập thì hệ thống sẽ sinh ra cảnh báo hoặc ghi lại xâm nhập này vào một tệp hoặc cơ sở
dữ liệu nhật ký.

3.2 Host IDS _ HIDS

Được cài đặt trong máy cần bảo vệ. Hệ thống xâm nhập này sẽ tìm kiếm trong các tệp
nhật ký của ứng dụng để phát hiện bất cứ hiện tượng xâm nhập nào.

• Sự khác nhau chủ yếu của hệ thống NIDS và HIDS :

Sự khác nhau chủ yếu của NIDS và HIDS là dữ liệu mà nó tìm kiếm. NIDS nhìn vào
toàn cảnh các chuyển dịch trên mạng , trong khi HIDS thì quan sát các host, hệ điều
hành và các ứng dụng. Trong thực tế, nó được chia cắt ra nhiều lĩnh vực khác nhau,
chẳng hạn như HIDS ngăn chặn các truy cập có hại cho mạng, còn NIDS thì cố gắng
đoán xem cái gì xảy ra bên trong host. Có một số giới hạn không rõ nét lắm như công
nghệ để phát triển tiếp theo.

5/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

Vậy những thuận tiện của Host base IDS là gì? Sự khác nhau cơ bản giữa chúng đó là
trong khi NIDS phát hiện ra các cuộc tấn công tiềm năng (những thứ sẽ được chuyển tới
đích) thì Host IDS lại phát hiện ra những cuộc tấn công mà đã thành công, có kết quả.
Bởi vậy có thể nói rằng NIDS lại phát hiện ra những cuộc tấn công đã thành công, có
kết quả. Vì vậy có thể nói rằng NIDS mang tính tiên phong hơn. Tuy nhiên, một host
IDS sẽ hiệu quả hơn đối với trong các môi trường có tốc độ chuyên dịch lớn, mã hóa và
có chuyển mạch - đây là những môi trường mà NIDS rất khó hoạt động. HIDS được thử
thách bởi rất nhiều những hành động có mức độ phơi bày cao của kẻ tấn công và đã thực
sự nâng tầm xử lý của chúng.

Mặt khác thì NIDS lại là một phần rất tuyệt cho môi trường tổng hợp như toàn bộ mạng.
Vì thế, NIDS có thể tạo nên một sự quan sát có ý nghĩa đến các phần của vụ tấn công có
liên quan đến nhiều hosts. Nó được thử thách trong môi trường mạng có chuyển mạch
tốc độ cao, môi trường mã hóa và các giao thức ứng dụng hiện đại phức tạp, bởi thế nên
các kết quả báo sai cũng rất có khả năng xảy ra.

3.3 Các dấu hiệu

Là mẫu mà được tìm kiếm bên trong gói dữ liệu. Một dữ liệu được dùng để tìm kiếm
một hoặc nhiều kiểu tấn công khác nhau của một gói tin, phụ thuộc vào bản chất của gói
tin đó.

Thông thường IDS dựa trên các dấu hiệu để tìm ra xâm nhập trái phép. Do vậy IDS cần
phải cập nhập các dấu hiệu mới cho một kiểu tấn công mới tương ứng.

3.4 Sensor

Một máy trên đó đang chạy một hệ thống phát hiện xâm nhập thì được gọi là một sensor.
Nó là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an ninh của hệ
thống mạng. Sensor có khả năng rà quét các gói tin trên mạng , so sánh nội dung với các
mẫu và phát hiện ra các dấu hiệu tấn công.

4. Kiến trúc của hệ thống phát hiện xâm nhập IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: Thành phần thu thập gói tin
(information collection), thành phần phân tích gói tin ( Dectection), thành phần phản hồi
(respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong 3 thành
phần này thì thành phần phân tích gói tin là một thành phần quan trọng nhất và ở thành
phần này bộ cảm biến đóng vai trò quyết định nên chúng ta đi xâu vào phân tích bộ cảm
biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào.

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách
sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông

6/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách
thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói
mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống
được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện
được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực
hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng.

Hình 2: Kiến trúc hệ thống IDS

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích
đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục
này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường,
các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữa các tham số
cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ
sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ
nhiều hành động khác nhau).

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng
truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân,
nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm
chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ
phân tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử
dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn
công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính

7/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành
cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói
đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới.

Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (Autonomous Agents
for Intrusion Detection _các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng
các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm
nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session
bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện
một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống
khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu
phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể
nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra
duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó
có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc
có thể được đưa ra để chọn lọc và thu thập dữ liệu.

Hình 3: Kiến trúc đa tác nhân - AAFID

Ngoài ra còn có 1 số điểm chú ý sau:

- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp
cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.- Chiến lược điều khiển: là
sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát , kiểm tra thông tin đầu vào
đầu ra:+ Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát
hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:+Phân thành nhiều thành phần: Phát
hiện, kiểm tra từ các vị trí thành phần rồi báo cáo về vị trí trung tâm.+Phân phối: Mỗi

8/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao
tác giám sát, kiểm tra báo cáo.

5. Cách thức làm việc của IDS

Cách thức làm việc của phụ thuộc vào từng loại IDS. Ta sẽ xem xét cách thực làm việc
của Network - Based IDS và Host - Based IDS, cùng với ưu và nhược điểm của mỗi
loại.

5.1 Network - Based IDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng.
Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với mô tả
sơ lược được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và phân
tích lưu lượng trong thời gian thực. Khi nhận được mẫu lưu lượng hay dấu hiệu, bộ cảm
biến gửi cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn
chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor được cài đặt ở toàn mạng để
theo dõi những gói tin trong mạng so sánh với mạng được định nghĩa để phát hiện đó là
tấn công hay không.

NIDS được đặt giữa kết nối hệ thống mạng bên trong và hệ thống mạng bên ngoài để
giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết
lập sẵn hay phần mềm cài đặt trên máy tinh, chủ yếu dùng để đo lưu lượng mạng được
sử dụng.

Hình 4: Mô hình NIDS.

NIDS giám sát toàn bộ mạng con của nó bằng cách lắng nghe tất cả các gói tin trên
mạng con đó. ( Nó thay đổi chế độ hoạt động của card mạng NIC vào trong chế độ
Promisuous). Bình thường một NIC hoạt động ở chế độ Nonpromisuous nghĩa là nó chỉ

9/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

nhận các gói tin mà có địa chỉ MAC trùng với địa chỉ của nó, các gói tin khác sẽ không
nhận, hay không xử lý và bị loại bỏ.

Để giám sát tất cả các truyền thông trong mạng con NIDS phải chấp nhận tất cả các gói
tin và chuyển chúng tới stack để xử lý. Do vậy nó sẽ phải thiết lập chế độ hoạt động cho
card mạng là Promisuous.

Hình thức dưới đây minh họa một mạng mà sử dụng 3 NIDS khác nhau:

Hình 5: Mô hình 3 NIDS

• Phân tích gói tin:

NIDS kiểm tra tất cả các thành phần trong gói tin để tìm ra dấu hiệu của một cuộc tấn
công trái phép bao gồm: Các phần đầu(header) của gói tin và phần nội dung của gói tin
(payload)

• Chống lại việc xóa dấu vết của Hacker

NIDS kiểm tra tất cả các luồng thông tin trên mạng một cách tức thời để phát hiện tấn
công trong thời gian thực vì thế Hacker không thể xóa dấu vết của việc tấn công. Việc
bắt dữ liệu không những tìm ra tấn công mà còn giúp cho việc xác định định danh của
kẻ tấn công đó. Đây được coi là bằng chứng.

• Phát hiện và đáp ứng thời gian thực

NIDS phát hiện cuộc tấn công đang xảy ra trong thời gian thực và do đó tạo ra các phản
ứng nhanh hơn.

Ví dụ: Một Hacker khởi tạo một cuộc tấn công từ chối dịch vụ dựa trên IDS sẽ gửi một
TCP reset để ngăn phiên TCP này, do vậy cuộc tấn công gắn liền với phiên TCP đó bị

10/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

loại bỏ trước khi nó bị làm sụt đổ hay phá hoại hệ thống. Đáp ứng thời gian thực giúp ta
nhanh chóng có phương pháp đáp trả.

• Đơn lập hệ điều hành

Network IDS thì không phụ thuộc vào hệ điều hành trong công việc phát hiện tấn công.

Lợi thế của Network-Based IDSs:

• Quản lý được cả một network segment (gồm nhiều host)

• "Trong suốt" với người sử dụng lẫn kẻ tấn công.
• Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
• Tránh tấn DOS ảnh hưởng tới một host nào đó.
• Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
• Độc lập với OSHạn chế của Network-Based IDSs:
• Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion
mà NIDS báo là có intrusion.
• Không thể phân tích các traffic đã được mã hóa (vd: SSL, SSH, IPSec…)
• NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
• Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
• Không cho biết việc attack có thành công hay không.

Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả
các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc
độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng
được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát
triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt
nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống
IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích
cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu
đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những
mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện
tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết
quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi
nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt
động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách
chính xác.

11/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

5.1.1 Một vài hệ thống NIDS

Network IDSs có thể chia làm 2 loại: hệ thống dựa trên các dấu hiệu và hệ thống dựa
trên những sự việc bất thường. Không giống như hệ thống dựa trên dấu hiệu, hệ thống
sau là một sự pha lẫn giữa những công nghệ khác nhau và gần như nhau. Thêm vào
đó, những NIDSs lai tạo đó đều nhằm tới việc làm cầu nối cho những thiếu sót bằng
cách sử dụng những mánh lới được sử dụng trong mỗi loại NIDSs. Trong thực tế, tất cả
những hệ thống NIDSs thương mại hiện đại đều sử dụng loại NIDS dựa trên những sự
bất thường để phát triển NIDS dựa trên dấu hiệu. Ví dụ như ISS RealSecure, Cisco IDS,
Enterasys Dragon.

5.1.1.1 Signature matchers

Giống như những phần mềm quét Vius truyền thông dựa trên chữ ký hệ hexa, phần lớn
các IDS đều cố gắng phát hiện ra các cuộc tán công dựa trên cơ sở dữ liệu về dấu hiệu
của tấn công. Khi một hacker tìm cách khai thác lỗ hổng đã biêt thì IDS cố gắng để đưa
lỗi đó vào cơ sở dữ liệu của mình. Ví dụ như Snort, một IDS dựa trên dấu hiệu miễn phí
được phát triển trên cả Unix và Windows.

Bởi vì nó là một phần mêm mã nguồn mở nên Snort có tiềm năng phát triển cơ sở dữ
liệu chữ ký nhanh hơn bất kỳ một công cụ có cơ sở dữ liệu nào khác. Các dấu hiện của
Snort được sử dụng trong tất cả mọi thứ từ Fiwall thương mại đến các phần mềm trung
gian middleware như Hogwash.

• Cấu trúc của Snort bao gồm:

• Một bộ giải mã gói tin.

• Một thiết bị phát hiện.
• Một hệ thống nhỏ logging và cảnh bá.

Snort là một IDS trạng thái, có nghĩ là nó có thể tập hợp lại và ghi nhận các tấn công
dựa trên phân đoạn TCP.

Có thể ta gặp nhiều khái niệm Firewall đa trạng thái hoặc Firewall không trạng thái
nhiều hơn là một hệ thống phát hiện xâm nhập. Tuy nhiên, cả 2 khái niệm này đều như
nhau. Firewall không trạng thái và IDSs làm việc với các gói tin riêng lẻ trong khi 1
Firewall trạng thái lại cân nhắc đến các trạng thái kết nối. Ví dụ đơn giản nhất như sau:
Một kẻ tấn công chia nhỏ các gói tin, thì IDS không trạng thái sẽ bỏ lỡ nó (bởi vì một
dấu hiệu không bao giờ xuất hiện trong một gói tin) tuy nhiên nó lại bị IDS trạng thái
phát hiện được bởi vì nó thu thập các phần đáng nghi không chỉ dựa trên 1 gói tin mà
trên cả dòng dữ liệu trong quá trình kết nối.

12/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

Tuy nhiên, những NIDSs trạng thái không tránh khỏi việc bỏ lỡ những dấu hiện xâm
nhập.

5.1.1.2 Phát hiện những dấu hiệu bất thường.

Phát hiện những dấu hiệu bất thường liên quan đến việc thiết lập một nền móng cơ bản
của những hoạt động bình thường của hệ thống hoặc là các hành vi trên mạng, và sau đó
cảnh báo chúng ta khi những sự chêch hướng xuất hiện. Lưu lượng trên mạng thay đổi
một cách không đáng kể, chặng hạn như thay đổi trong thiết kế để hướng IDS theo định
dạng host - base nhiều hơn là NIDS. Tuy nhiên, một số mạng lại có những cấu trúc thật
khác thường đặc biệt là những mạng quân đội hoặc những mạng giao tiếp tình báo.Mặt
khác những hành động xảy ra trong một server rất có thể không thể kiểm soát hết được,
do đó mà mạng trở nên rất hỗn loạn. Nên lưu ý rằng, thỉnh thoảng chúng ta muốn tách
rời những NIDS dựa trên những sự kiện bất thường thành những sự kiện chuyển động
bất thường ( bị trêch hướng từ một miêu tả chuyển động đã biết) và giao thức sự kiện
bất thường ( trệch hướng từ các chuẩn giao thức mạng).

5.2 Host - Based IDS:

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ
quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng
thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống,
lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi
những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên
máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là
hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên
máy chủ bị tấn công (compromised host).

Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền
truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể
tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng
(network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công
mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều
khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì
hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật
lý.

Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công
dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử
lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.HIDS thường được cài
đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment,
HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host

13/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công
đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm:

• Các tiến trình.

• Các entry của Registry.
• Mức độ sử dụng CPU.
• Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
• Một vài thông số khác.

Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi
trên hệ thống file sẽ gây ra báo động.

Dùng phần mềm để giám sát các tệp nhật ký của hệ thống. Ngay khi có bất kỳ thay đổi
nào tới các tệp đó, Host - Based IDS sẽ so sánh thông tin với những gì được cấu hình
trong chính sách, được thiết lập hiện tại và sau đó sinh ra các phản ứng lại với sự thay
đổi đó. Một phương thức của Host - Based IDS giám sát các hoạt động trong thời gian
thực. Một vài Host - Based IDS sẽ lắng nghe phát hiện tấn công mạng.

Host - Based IDS phát hiện sự thay đổi trên các tệp và trên hệ điều hành. Nó giám sát
kích thước và tổng kiểm tra các tệp để đảm bảo rằng các tệp hệ thống không bị thay đổi.
Ngoài ra nó có thể ngăn chặn các cuộc gọi hệ thống không hợp lệ mà đang cố gắng tìm
kiếm các lỗ hổng của hệ thống.

Hình ảnh dưới đây minh họa cho việc sử dụng Host - Based IDS để bảo vệ máy chủ và
máy trạm. Tập các nguyên tắc Host - Based IDS trên Mail server được tối ưu để bảo vệ
cho các xâm nhập mail, trong khi đo các nguyên tắc cho web Server được tạo thích hợp
để bảo vệ các xâm nhập web.

14/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

Hình 6: Mô hình HIDS

• Ưu điểm của Host - Based IDS: Do Host - Based IDS được cài đặt trên một
máy trạm cụ thể và dùng thông tin cung cấp bởi hệ điều hành (OS) nên nó có
khả năng mà NIDS không có đó là:
• Kiểm tra tấn công: Vì Host - Based IDS sử dụng các tệp nhật ký của hệ thống
để phát hiện xâm nhập, những tệp này chứa những sự kiện đã xảy ra, do đó
Host - Based IDS có thể biết được cuộc tấn công có thành công hay không
thành công mà Network - Based IDS khó có thể biết được điều này.
• Giám sát các hành động đăng nhập và truy cập tệp tin. Host - Based IDS có thể
giám sát các hành động của người dùng, cũng như hành động của thủ tục đăng
nhập hoặc thoát ra được thực hiện, chúng sẽ ghi lại ở nhật ký đó dựa trên các
chính sách hiện hành. Ngoài ra, Host - Based IDS có thể giám sát sự truy cập
vào tệp tin và biết được thời điểm mở tệp tin đó.
• Giám sát các thành phần của hệ thống: Host - Based IDS cho ta khả năng giám
sát các thành phần của hệ thống quan trọng như các thành phần hệ thống có thể
thực thi, chẳng hạn như các file DLL và NT Registry. Nhưng file đó có thể gây
ảnh hưởng đến an toàn của hệ thống và mạng. Host - Based IDS có thể đưa ra
các cảnh báo mỗi khi các file đó được thực thi.
• Phát hiện và phản ứng gần thời gian thực: Hiện tại các Host - Based IDS có khả
năng phát hiện và phản ứng ở gần thời gian thực, thay vì phải sử dụng một tiến
trình để kiểm tra trạng thái và nội dung của nhật ký ở một thời gian xác định
trước. Ngày nay các Host - Based IDS có thể phát hiện ngay khi các tệp nhật ký
được cập nhật.

Hạn chế của Host - Based IDS:

• Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
• HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat...)
• HIDS cần tài nguyên trên host để hoạt động.
• HIDS có thể không hiệu quả khi bị tấn công DOS.
• Đa số chạy trên hệ điều hành Windows. Tuy nhiên cũng đã có một số chạy
được trên UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả
các máy chủ nên đây có thể là điều khó khăn của những nhà quản trị khi nâng cấp phiên
bản, bảo trì phần mêm, và cấu hình phần mêm trở thành công việc tốn thời gian và là
những việc làm phức tạp.

Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ
khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn
đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó, trước khi

15/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các
hệ điều hành.

5.2.1 Một vài hệ thống HIDS

Host - based IDS có thể được phân chia lỏng lẻo thành các kiểm soát logfile, kiểm tra
độ thích hợp và các module nhân của hệ thống.

5.2.1.1 Giám sát logfile:

Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors), thiết bị này sẽ cố
ngắng phát hiện những sự xâm nhập bằng cách phân tích các log sự kiện của hệ thống.
Ví dụ như, một thiết bị giám sát logfile sẽ tìm kiếm những logfile ghi nhận những truy
cập Apache để truy cập tới Apache để tìm ra đặc điểm của yêu cầu /cgi-bin/. Công nghệ
này bị giới hạn bởi vì nó chỉ tìm kiếm trong các sự kiện đã được log - là những thứ
mà kẻ tấn công rất dễ để thay thế. Thêm vào đó, hệ thống có thể bỏ qua các sự kiện hệ
thống cấp thấp mà chỉ ghi lại các hoạt động cấp cao. Ví dụ như HIDS sẽ bỏ qua nếu
kẻ tấn công chỉ đọc nội dung file như file /etc/passwd chẳng hạn. Điều này sẽ xảy ra
nếu bạn không đặt file vào chế độ bảo vệ của hệ thống. Giám sát loglile là một ví dụ
chính cho các hệ thống IDS dựa trên host bởi chúng thực hiện chức nắng giám sát của
chúng trên chỉ một máy. Tuy nhiên, một hệ thống giám sát host logfile hoàn toàn đưa
lại một số thuận tiện cho việc giám sát với các công cụ hệ thống được xây dựng, bởi
vì HIDSs có kênh chuyển dịch tổng hợp an toàn tới một server trung tâm, không giống
như những syslog thông thường khác. Nó cũng cho phép tích hợp những logs mà không
bình thường để tích hợp trong một máy đơn. (chẳng hạn như log sự kiện của Windows).

Mặt khác, NIDS thường quét toàn mạng trên mức độ gói tin, trực tiếp từ đường truyền
giống như những sniffer. Bởi vậy NIDS có thể phối hợp với rất nhiều host có dữ liệu
chuyển qua. Mỗi một loại đều có tác dụng và thuận tiện của chúng trong những trường
hợp khác nhau.

Thiết bị giám sát loglile nổi tiếng là Swatch ( Simple swatcher). Trong hầu hết các phàn
mêm phân tích log chỉ log theo định kỳ, thì Swatch quét tất cả các đầu vào log và tạo
báo cáo cảnh báo theo thời gian thực. Những công cụ khác như logswatch được tích hợp
cùng với Rel Hat Linux thì rất tốt cho các thao tác ngoài. Tuy nhiên, mặc dù swatch đi
cùng với nhiều bước có liên quan thì nó vẫn đòi hỏi nhiều tính năng động và cấu hinh
khác với những công cụ khác.

Giám sát logfile có thể được coi như một hệ thống phát hiện xâm nhập một cách đặc
biệt. Logs cũng chứa rất nhiều thông tin không trực tiếp liên quan đến sự xâm nhập (chỉ
là những thông tin mà NIDS nghe được trên đường truyền). Logs có thể được coi như
một cái bể lớn chứa thông tin, một số thông tin bình thường (như thông tin về kết nối
của người chịu trách nhiệm, thông tin cấu hình lại daemon...) và những thông tin đáng

16/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

ngờ chẳng hạn như thông tin về đăng nhập từ một IP động, truy cập Root một cách kỳ
lạ... và rất nhiều những thông tin (malicious) chẳng hạn như RPC buffer overflow được
ghi nhận từ rpc.statd. Xem xét và chọn lọc toàn bộ những thông tin đó chỉ dễ hơn một
chút so với lắng nghe trên mạng và tìm kiếm những cuộc tấn công vào Web hoặc là các
gói tin dị hình.

Nếu tất cả các ứng dụng đều có một hệ thống log an toàn mà tất cả các sự kiện xấu đều
được ghi nhận và đóng gói, những người phân tích log có thể không cần đến một hệ
thống phát hiện xâm nhập. Trong thực tế,nếu một sự kiện có thể được chỉ ra trong một
file log hoàn chỉnh thì nó có thể là một sự xâm nhập. Tuy nhiên, trong đời thực thì việc
tìm kiếm từng phần trong logs đôi khi cũng giá trị như việc tìm kiếm từng phần trên
đường dẫn.

Thực tế thì việc đi kèm phân tích log hệ thống NIDS log là một đặc điểm rất có ích
đối với người phân tích log. Người phân tích sẽ nhìn thấy được nhiều hơn là chỉ nhìn
trên đường dẫn và tạo các chức năng của meta IDS. Ví dụ như, giải pháp quản lý như
netForensics cho phép phân tích log qua các sự kiện đã được tổng hợp.

5.2.1.2 Giám sát tình toàn vẹn

Một công cụ giám sát tính toàn vẹn sẽ nhìn vào các cấu trúc chủ yếu của hệ thống để tìm
sự thay đổi. Ví dụ như, một giám sát toàn vẹn đó sẽ sử dụng 1 file hệ thống hoặc một
khóa registry như “bait” để ghi lại các thay đổi bởi một kẻ xâm nhập. Mặc dù chúng có
thời hạn, giám sát toàn vẹn có thể thêm các lớp bảo vệ cho một hệ thống phát hiện xâm
nhập.

Giám sát toàn vẹn phổ biến nhất đó là Tripwire. Tripwire có sẵn trong Windows và Unix
và nó chỉ có thể giám sát một số các thuộc tính như sau:

• Việc thêm, xóa, sửa đổi file.

• Cờ File (hidden, read-only, archive.....)
• Thời gian truy cập cuối cùng.
• Thời gian ghi cuối cùng.
• Thời gian thay đổi.
• Kích thước File.
• Kiểm tra Hash.

Khả năng của Tripwire là rất lớn trên Unix và Windows bởi vì các thuộc tính khác nhau
của các hệ thống file. Tripwire có thể được thay đổi để phù hợp với các đặc điểm mạng
của bạn, và nhiều Tripwire agents có thể tập trung một cách an toàn các dữ liệu. Trong
thực tế bạn có thể sử dụng Tripwire để giám sát bất kỳ một thay đổi nào trên hệ thống
của bạn. Bởi vậy nó là một công cụ rất mạnh trong IDS arsenal của bạn.

17/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

Mấu chốt để kiểm tra tính toàn vẹn của hệ thống cho một thiết bị phát hiện xâm nhập đó
là xác định ranh giới an toàn. Được thiết lập giống như 1 base line chỉ có thể được thiết
lập trước khi hệ thống được kết nối với mạng. Nếu không có trạng thái an toàn thì công
cụ này sẽ bị giới hạn rất nhiều, bởi vì những kẻ tấn công có thể đã giới thiệu những thay
đổi của họ với hệ thống trước khi công cụ kiểm tra tính toàn vẹn hoạt động lần đầu tiên.

Trong khi hầu như tất cả mọi công cụ đều yêu cầu một trạng thái baseline trước khi bị
tấn công thì một vài công cụ lại dựa trên hiểu biết của chúng về các mối nguy hiểm.
Một ví dụ đó là công cụ Chkrootkit. Nó kiểm tra những dấu hiệu xâm nhập phổ biến mà
thường hiện trên các hệ thống bị tổn thương.

Kiểm tra tính toàn vẹn cung cấp một giá trị lớn nhất nếu chúng có được một vài thong
tin hướng dẫn. Trước hết, nó phải được phát triển trên một hệ thống hoàn toàn sạch sẽ
sao cho nó không phải ghi nhận các trạng thái dở dang hoặc bị tổn thương như thông
thường. Ví dụ, Tripwire nên được cài đặt trên một hệ thống khi nó còn nguyên bản từ
nhà sản xuất với những ứng dụng cần thiết nhất, trước khi nó kết nối tới mạng.

Bởi vậy, ý kiến về việc lưu trữ dữ liệu về trạng thái tốt trên các bản ghi được đặt trên
các thiết bị lưu trữ chỉ đọc như CDROMs là một ý kiến rất hay. Chúng sẽ luôn có một
bản copy đầy đủ để so sánh khi cần phải giải quyết vấn đề. Tuy nhiên, mặc dù có tất cả
những biên pháp phòng ngừa đó thì hacker vẫn có thể vượt qua được tất cả hệ thống như
thế.

6. Một số phương pháp phát hiện xâm nhập của IDS

6.1 Phương pháp bắt gói tin

Phương pháp được sử dụng trong NIDS để rò tìm xâm nhập mạng bằng cách thiết lập
các giao diện hoạt động trong chế độ Promiscuos và bắt tất cả các gói tin đi vào giao
diện này. Như vậy, NIDS sẽ bắt các gói tin mà được truyền trong mạng cục bộ và chúng
sẽ không nhìn thấy được các gói tin mà ở trong TCP/IP strack bên trong máy. Nhiều hệ
thống HIDS cũng thực hiện phân tích truyền thông bằng kỹ thuật này, tuy nhiên chúng
không phân tích toàn bộ gói tin mà chỉ phân tích những gói tin đi vào các máy có cài
HIDS.

6.2 Phân tích nhật ký

Với phương pháp này IDS sẽ tìm kiếm các hoạt động từ trong dữ liệu của các tệp nhật
ký hệ thống và sẽ sinh ra các cảnh báo nếu tìm thấy các hành động không bình thường.

18/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

6.3 Giám sát các cuộc gọi hệ thống

Một cuộc gọi hệ thống chính là một yêu cầu tư một ứng dụng đối với nhân của một hệ
điều hành HIDS có các module ở bên trong nhân của hệ điều hành và nó sẽ kiểm tra các
hệ điều hành ác ý. Nếu HIDS nghi ngờ có cuộc gọi hệ thống ác ý thì nó sẽ ra một cảnh
báo tới người quản trị.

6.4 Kiểm tra các tệp hệ thống

Đây là một phương pháp mà HIDS hay sử dụng. Với phương pháp này HIDS sẽ lưu các
dấu vết của các tệp hệ thống. Ví dụ như kích thước tệp thuộc tính tệp...nếu nhân của hệ
điều hành phát hiện ra sự thay đổi các thuộc tính này mà người quản trị mạng không biết
thì đây rất có thể là các hoạt động ác ý nào đó mà HIDS sẽ ra các cảnh báo đến người
quản trị mạng.

7. HIDS làm gì khi phát hiện xâm nhập.

7.1 Phản ứng thụ động

Là thành phần phản ứng lại của hệ thống IDS khi nó phát hiện ra một tấn công. Các hoạt
động phản ứng này có thể ghi lại tấn công vào nhật ký hoặc gửi các cảnh báo tới nhà
quản trị.

Như vậy phản ứng thụ động của hệ thống IDS là một hành động gửi các cảnh báo đến
nhà quản trị, căn cứ vào đó người quản trị sẽ đưa ra quyết định với những kiểu tấn công
cụ thể. Bản thân IDS tự nó không đưa ra các phản ứng cụ thể trong một kiểu tấn công
nào.

7.2 Phản ứng chủ động

Các hệ thống IDS với khả năng phản ứng chủ động thì cũng có các hoạt động của phản
ứng thụ động , Tuy nhiên khi phát hiện ra một cuộc tấn công thì chính IDS có thể được
cấu hình để tạo ra các hoạt động phản ứng chủ động khác như: loại bỏ gói tin,block lại
kênh truyền thông TCP nào đó hơn là chỉ đưa ra các cảnh báo tới người quản trị và chờ
người quản trị đưa ra các hoạt động cụ thể. Như vậy, thiết bị IDS với khả năng phản ứng
chủ động sẽ được cài đặt trong luồng truyền thông Inline , nó có thể loại bỏ các dữ liệu
mà nó cho là một tấn công hoặc kết thúc một phiên TCP/IP...

19/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

8. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện
xâm nhập

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý
khác nhau cũng được sử dụng cho dữ liệu đối với một IDS. Dưới đây là một số hệ thống
mô tả vắn tắt.

8.1 Hệ thống Expert

Hệ thống này làm việc trên một tập các nguyên tắc đã được đinh nghĩa từ trước để miêu
tả các tân công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào một
kiểm định và được dịch dưới dạng nguyên tắc If - Then - Else.

8.2 Phát hiện xâm nhập dựa trên luật.

Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về
tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành kiểm định thích hợp. Như
vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi. Một kịch bản tấn công có
thể được mô tả , ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu
dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Sự phát hiện được thực hiện
bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế.

8.3 Phân biệt ý định người dùng

Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm
vụ mức cao mà họ có thể thực hiện được trên hệ thống. Các nhiệm vụ đó thường cần
đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ
phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Mất cứ khi
nào một sự không hợp lệ được phát hiện thì một cảnh báo được sinh ra.

8.4 Phân tích trạng thái phiên

Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi
một kẻ xâm nhập để gây tổn hại cho hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay
đáp trả theo các hành động đã được định trước.

8.5 Phương pháp phân tích thống kê

Hành vi người dùng hay hệ thống được tính theo một số biến thời gian. Ví dụ, các biến
như là : đăng nhập người dùng,đăng xuất, số tập tin truy nhập trong một khoảng thời
gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU... Chu kỳ nâng cấp có thể thay đổi
từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng

20/21
Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS

để phát hiện sự vượt quá ngưỡng được định nghĩa trước. Ngay cả phương pháp đơn giản
này cũng không thể hợp được mô hình hành vi người dùng điển hình. Các phương pháp
dựa vào việc làm tương quan thông tin người dùng riêng lẻ với các biến nhóm đã được
gộp lại cũng ít có hiệu quả.

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách
sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên
được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng.

Tài liệu kham thảo

1. “The need for Intrusion Detection System”, “How IDS Addresses common
Threats, Attacks & Vulnerabilities”, Everything you need to know about
IDS, 1999 AXENT Technologies, Inc.
2. Giáo trình An toàn mạng máy tính.
3. KnowledgeNet Security+ Student Guide, Module 1–3, knowledgenet.com,
2003
4. http://project.honeynet.org/
5. http://www.pablosoftwaresolutions.com/
6. http://searchsecurity.com/
7. http://www.ietf.org/rfc/

21/21