HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG

BÁO CÁO BÀI TẬP LỚN

BỘ MÔN: AN TOÀN MẠNG THÔNG TIN
CHỦ ĐỀ 12: TÌM HIỂU CẤU TRÚC VÀ CÁC HỆ THỐNG IDS

Giảng viên: Phạm Anh Thư

Nhóm lớp: 7
Nhóm bài tập lớn: 11
Thành viên:
Trần Nam Hải - B19DCVT118 STT: 14
Đặng Văn Hoàng - B19DCVT153 STT: 18
Bùi Trọng Đạt - B19DCVT074 STT: 8
Phùng Văn Thụ - B19DCVT398 STT: 38
Nguyễn Mạnh Hùng – B19DCVT166 STT: 22

Hà Nội, Tháng 9 năm 2022

 MỤC LỤC

Lời mở đầu ……………………………………………………………….

Phần 1: Tổng quan

1.1: Lý do chọn đề tài
1.2: Phân tích hiện trạng
1.3: Xác định mục tiêu tìm hiểu

Phần 2: Tìm hiểu IDS

2.1: Khái niệm IDS
2.1.1: Khái niệm “phát hiện xâm nhập”
2.1.2: Khái niệm IDS
2.1.3: Ưu và nhược điểm của IDS
2.1.4: Phân biệt những hệ thống không phải là IDS
2.2: Các thành phần của IDS
2.2.1: Thành phần thu thập gói tin
2.2.2: Thành phần phát hiện gói tin
2.2.3: Thành phần phản hồi (phản ứng)
2.3: Cơ chế hoạt động của IDS
2.3.1: Các nhiệm vụ cần thực hiện
2.3.2: Nguyên lý hoạt động
2.3.3: Các kỹ thuật xử lí được sử dụng trong IDS
2.4: So sánh IDS với Firewall và IPS
2.4.1: IDS và Firewall
2.4.2: IDS và IPS

Phần 3: Phân loại các hệ thống IDS:

3.1: Network-based Instruction Detection System (NIDS)
3.1.1: Ưu điểm của NIDS
3.1.2: Nhược điểm của NIDS
3.2: Host-based Instruction Detection System (HIDS)
3.2.1: Ưu điểm của HIDS
3.2.2: Nhược điểm của HIDS
3.3: Một số hệ thống IDS khác
3.4: Các ứng dụng IDS phổ biến hiện nay
Phần 4: Kết luận.

Phần 5: Tài liệu tham khảo

 LỜI MỞ ĐẦU

Trong thời đại kỉ nguyên số 4.0 hàng loạt các tiến bộ về khoa học kĩ thuật
đã có những bước phát triển mới. Trong đó phải kể đến hệ thống mạng Internet
nhằm phục vụ cho yêu cầu kết nối của con người là một trong những mục tiêu,
dự án được đầu tư và phát triển vượt bậc nhất trong vài thập kỉ qua.

Đặc biệt trong thời đại mới, thông tin của cá nhân là vô cùng quan trọng.
Nó có thể gây ảnh hưởng xấu đến cá nhân hoặc tập thể lớn nếu như bị lợi dụng
hay đánh cắp bởi các hacker khi những thông tin đó được cập nhật trên hệ thống
mạng. Chính vì vậy khi Internet và các mạng nội bộ càng ngày càng phổ biến,
thách thức của các vấn đề xâm nhập mạng trái phép đã buộc các tổ chức phải bổ
sung thêm hệ thống để kiểm tra các lỗ hổng về bảo mật CNTT. Một trong những
hệ thống được những người quan tâm đến bảo mật nhắc đến nhiều nhất là hệ
thống phát hiện xâm nhập (IDS). Và đây cũng chính là chủ đề tìm hiểu của bài
viết này.

Chúng em xin cảm ơn cô Phạm Anh Thư đã cho chúng em cơ hội để tìm
hiểu về những chủ đề rất hay và có tính thiết thực cao trong công việc về ngành
học tương lai. Chúng em rất mong nhận được những ý kiến, nhận xét từ cô.
PHẦN 1: TỔNG QUÁT

1.1: Lý do chọn đề tài

Với tên bộ môn là An toàn mạng thông tin, khi đươc chọn đề tài của bài tập lớn,
các thành viên trong nhóm cũng muốn tìm hiểu về các hệ thống bảo mật phổ biến hiện
nay. Trong đó được biết rằng hệ thống bảo mật IDS với các cơ chế hoạt động dễ tiếp
cận, có thể cải tiến và phổ biến hiện nay chính là đề tài mà chúng em quyết định lựa
chọn để nghiên cứu.

1.2: Phân tích hiện trạng về bảo mật mạng hiện nay
- Theo thông tin từ Microsoft, trong năm 2019, họ đã chặn được hơn 13 tỷ gói tin
độc hại và đáng ngờ trong đó có hơn 1 tỷ URL được thiết lập với mục tiêu đánh cắp
thông tin xác thực.
- Các kỹ thuật tấn công phổ biến nhất được hacker sử dụng trong thời gian qua là
do thám, thu thập thông tin đăng nhập, phần mềm độc hại và khai thác mạng riêng ảo
VPN.
- Theo thông tin từ Cục An toàn thông tin, Bộ TT&TT Việt Nam ghi nhận trong 3
tháng đầu năm 2021 đã có 1271 cuộc tấn công mạng gây ra sự cố vào các hệ thống
thông tin.
- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật
máy tính.

Nguồn thông tin: Microsoft Digital Defense Report – Microsoft Security

Tình hình an ninh mạng của Việt Nam và thế giới trong ...
(thaibinh.gov.vn)

 Chính từ thực trạng về tấn công mạng vẫn còn xảy ra với số lượng lớn trong các
năm qua mà ta rút ra được những kết luận:
- Nếu sử dụng các phần mềm bảo mật hay diệt virus cần tìm hiểu và cài đặt các
phần mềm đảm bảo uy tín, và nên bổ sung thêm IDS cho chiến lược bảo mật
của mình vì đa phần phần mềm chống virus không sử dụng IDS.
- Với công nghệ phát triển ngày nay, không có một giải phát bảo mật nào có thể
tồn tại lâu dài. Nên cần kiểm tra và nâng cấp thường xuyên.
- Hệ thống bảo mật IDS là phương pháp bảo mật vẫn còn đang được tin dùng và
có khả năng chống lại các kiểu tấn công mới, dùng sai xuất phát từ trong hệ
thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống.

1.3: Xác định mục tiêu tìm hiểu

 Lựa chọn đề tài về IDS chúng em mong người đọc xong khi đọc xong nội dung có
thể rút ra được các kiến thức cơ bản về IDS như sau:
- Hiểu về định nghĩa IDS là gì?
- Lí do nên sử dụng IDS.
- Các thành phần trong IDS và vai trò của từng phần.
- Phân biệt so sánh IDS với một số hệ thống bảo mật khác.
- Các mô hình IDS và các ứng dụng IDS phổ biến hiện nay.

PHẦN 2: TÌM HIỂU VỀ IDS

2.1: Khái niệm IDS

2.1.1: Khái niệm “phát hiện xâm nhập”
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống
máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu “ xâm nhập bất
hợp pháp”. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để
xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua
các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất
phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ
thống, hay cũng có thể là một người dùng được cấp phép trong hệ thống đó muốn
chiếm đoạt các quyền khác mà họ chưa được cấp phát. Hệ thống phát hiện xâm nhập là
hệ thống phần mềm hoặc phần cứng có khả năng tự động theo dõi và phân tích để phát
hiện ra các dấu hiệu xâm nhập.
2.1.2: IDS (Intrusion Detection System)
Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng
nhằm phát hiện hiện tượng bất thường, các hoạt động xâm nhập trái phép vào hệ thống
và cảnh báo cho hệ thống, nhà quản trị.

 Tấn công bên trong (từ trong nội bộ)

 Tấn công bên ngoài (từ hacker)
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên dụng
để phát hiện xâm nhập vào các hệ thống mạng cần bảo vệ. IDS được thiết kế không
phải với mục đích thay thế các phương pháp bảo mật truyền thống mà để hoàn thiện
nó.
2.1.3: Ưu và nhược điểm của IDS
a, Ưu điểm:
o Thích hợp sử dụng để thu thập số liệu, giúp kiểm tra các sự cố xảy ra đối
với hệ thống mạng với những bằng chứng thuyết phục nhất.
o Đem đến cái nhìn bao quát và toàn diện về toàn bộ hệ thống mạng.
o Là công cụ thích hợp để thu thập bằng chứng phục vụ cho việc kiểm tra
các sự cố trong hệ thống mạng.
 b, Nhược điểm:
o Nếu không được cấu hình hợp lý rất dễ gây tình trạng báo động nhầm.
o Khả năng phân tích lưu lượng mã hóa tương đối thấp

o Chi phí triển khai, phát triển và vận hành hệ thống tương đối lớn.

2.1.4: Phân biệt các hệ thống không phải IDS

Có nhiều thiết bị, công cụ bị nhầm tưởng là IDS, cần phân biệt rõ để tránh
nhầm lẫn. Cụ thể, các thiết bị bảo mật dưới đây không phải là IDS:
 Hệ thống ghi nhật ký mạng được sử dụng để phát hiện lỗ hổng đối với những
cuộc tấn công từ chối dịch vụ (DoS) trên mạng đang bị tắc nghẽn. Đây là các hệ
thống giám sát traffic (lưu lượng dữ liệu) trong mạng.
 Các công cụ đánh giá lỗ hổng, dùng để kiểm tra lỗi và lỗ hổng trong hệ điều
hành, dịch vụ mạng (các bộ quét bảo mật).
 Các phần mềm diệt virus được thiết kế để phát hiện phần mềm nguy hiểm như
virus, Trojan horse, worm, logic bomb... Mặc dù những tính năng mặc định có
thể rất giống hệ thống phát hiện xâm nhập và thường cung cấp một công cụ
phát hiện vi phạm bảo mật hiệu quả, nhưng xét tổng thể chúng không phải là
IDS.
 Tường lửa: Dù nhiều tưởng lửa hiện đại được tích hợp sẵn IDS, nhưng IDS
không phải là tường lửa.
 Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos,
Radius

2.2: Các thành phần của IDS

IDS bao gồm các thành phần chính: thành phần thu thập gói tin (Information
collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response)
nếu gói tin đó được phát hiện là một cuộc tấn công.
 2.2.1: Thành phần thu thập gói tin

Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến mạng. Thông thường
các gói tin có địa chỉ không phải của card mạng thì sẽ bị card mạng đó hủy bỏ nhưng
card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua chúng đều
được sao chụp, xử lí, phân tích đến từng trường thông tin. Bộ phận thu thập gói tin sẽ
đọc thông tin từng trường, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì,... Các
thông tin này sẽ được chuyển đến phần phát hiện, phân tích.

2.2.2: Thành phần phân tích gói tin

Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan đến hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.

2.2.3: Thành phần phản hồi

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phân tích sẽ gửi
tín hiệu có sự tấn công hoặc thâm nhập đến thành phần phản ứng. Lúc đó thành phần
phản ứng sẽ kích hoạt tưởng lửa ngăn chặn cuộc tấn công hay cảnh báo tới người quản
trị.

 Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm
biến đóng vai trò quyết định. Bộ cảm biến tích hợp với thành phần là sưu tập
dữ liệu và một bộ tạo sự kiến. Cách sưu tập này được xác định bởi chính
sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Vai trò của bộ
cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt
được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách
 phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cần thiết. Thêm vào đó, cơ sở dữ
liệu giữa các tham số cấu hình, gồm các chế độ truyền thông với module đáp
trả. Bộ cảm biến cũng có sơ sở dữ liệu của riêng nó.

2.3: Cơ chế hoạt động của IDS

2.3.1: Các nhiệm vụ cần phải thực hiện

Nhiệm vụ chính của các IDS là phòng chống cho một hệ thống máy tính bằng
cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó. Việc phát hiện các tấn công
phụ thuộc vào số lượng và kiểu hành động thích hợp (Hình dưới). Để ngăn chặn xâm
nhập tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các
mối đe dọa. Việc làm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được
bảo vệ là một nhiệm vụ quan trọng khác. Cả hệ thống thực và hệ thống bẫy cần phải
được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm
nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát
hiện các dấu hiệu tấn công (sự xâm nhập).

Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị
viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc
có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa
để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ
sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức. Một IDS là một
thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý
các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề
xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua emai.
2.3.2: Nguyên lí hoạt động
Sau khi thu thập xong dữ liệu, IDS so khớp lưu lượng mạng với các mẫu lưu
lượng có sẵn của những cuộc tấn công mạng khác (phương pháp này thường được gọi
là tương quan mẫu – Pattern Correlation). Thông qua phương pháp này, hệ thống IDS
có thể xác định xem những hoạt động bất thường có phải là dấu hiệu của sự tấn công
hay không.

 Một host tạo ra một gói tin mạng

 Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó
được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có
thể đọc tất cả các gói tin).
 Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có
dấu hiệu vi phạm hay không. Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được
tạo ra và gửi đến giao diện điều khiển.
 Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một
người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sổ
popup, trang web v.v…).
 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
 Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ
hoặc trên cơ sở dữ liệu).
 Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
 Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là
cuộc tấn công hay không

2.3.3: Các kỹ thuật xử lí được sử dụng trong IDS

Hệ thống phát hiện xâm nhập (IDS) hoạt động thông qua các cơ chế sau: phát
hiện dựa trên chữ ký, phát hiện dựa trên sự bất thường hoặc phân tích giao thức trạng
thái. Trong phần này chúng ta sẽ xem xét chi tiết từng phương pháp.

a) Phát hiện dựa trên chữ ký (Signature-based instruction detection) Đây là

phương pháp được thiết kế để tìm ra những nguy hiểm tiềm tàng bằng cách so
sánh dung lượng mạng và nhật ký dữ liệu với những mẫu tấn công có sẵn trong
hệ thống. Những mẫu này còn được gọi là chuỗi (sequence) và có thể bao gồm
 chuỗi byte, được gọi là chuỗi lệnh độc hại. Phát hiện dựa trên chữ ký cho phép
các quản trị viên nhanh chóng phát hiện các cuộc tấn công vào mạng.

Cơ chế này bảo vệ khỏi các mối đe dọa đã biết. Ví dụ như:

- Mệt e-mail có tệp đính kèm chứa phần mềm độc hại đã biết với chủ đề lạ (ví dụ:
email có chủ đề “ Hello”)
- Tài khoản “người quản trị” thực hiện đăng nhập ở nơi lạ, chắc chắn là vi phạm
chính sách công ty.

Phát hiện dựa trên chữ ký là hình thức phát hiện đơn giản nhất vì nó chỉ so sánh
lưu lượng truy cập với cơ sở dữ liệu chữ ký. Nếu tìm thấy kết quả phù hợp thì
cảnh báo sẽ được tạo, nếu không tìm thấy kết quả phù hợp thì lưu lượng truy
cập sẽ không có vấn đề gì.

Tuy nhiên với cơ chế này, IDS chỉ có thể phát hiện ra các mối đe dọa đã biết và
do đó, không hiệu quả trong việc phát hiện các mối đe dọa chưa biết. Để phát
hiện được một cuộc tấn công, việc khớp chữ ký phải chính xác, nếu không ngay
cả một sự thay đổi đổi nhỏ hệ thống cũng sẽ không biết được. Ví dụ như một
mã độc với chủ đề “Hello” ở trên chỉ cần bỏ 1 ký tự “o” trở thành “Hell”, hệ
thống có thể sẽ không phát hiện ra và cho mã độc xâm nhập.

Cơ sở dữ liệu chữ ký cần được cập nhật liên tục, gần như hàng ngày từ các
phòng nghiên cứu chống virus như McAfee, Synmantec,… và các nhà cung cấp
bảo mật khác. Nếu chữ ký không được cập nhật, rất có thể hệ thống IDS sẽ
không phát hiện được một số cuộc tấn công xâm nhập.

b) Phát hiện dựa trên sự bất thường (Anomaly-based intrusion detection )

được thiết kế để xác định các cuộc tấn công không xác định, chẳng hạn như
 phần mềm độc hại mới và thích ứng với chúng ngay lập tức bằng cách sử dụng
máy học. Thông qua các kỹ thuật máy học cho phép Hệ thống phát hiện xâm
nhập (IDS) tạo ra các đường cơ sở của mô hình tin cậy, sau đó so sánh hành vi
mới với các mô hình tin cậy đã được xác minh. Cảnh báo giả có thể xảy ra khi
sử dụng IDS dựa trên sự bất thường, vì lưu lượng mạng hợp pháp chưa từng
được biết đến trước đây cũng có thể bị xác định sai là hoạt động độc hại.

Hồ sơ cơ sở được tạo bằng cách cho phép hệ thống IDS tìm hiểu lưu lượng truy
cập trong một khoảng thời gian để IDS có thể nghiên cứu hành vi lưu lượng
truy cập trong giờ cao điểm, ngoài giờ cao điểm, giờ ban đêm, giờ làm việc đầu
giờ,… Sau khi tìm hiểu, lưu lượng được nghiên cứu và cập nhập tạo hồ sơ cơ
sở. Khi IDS được chuyển từ chế độ học tập sang chế độ phát hiện/ ngăn chặn,
nó sẽ sử dụng dữ liệu từ hồ sơ để so sánh với các dấu hiệu bất thường, nếu có
thì một cảnh báo sẽ được kích hoạt.

Một số ví dụ về hành vi bất thường:

- Quá nhiều Telnet trong một ngày.

- Lưu lượng truy cập HTTP trên 1 cổng biến động mạnh.
- Lưu lượng truy cập SNMP liên tục.

Thách thức của phương pháp dựa trên sự bất thường là tạo ra một hồ sơ hiệu
quả. Sau một khoảng thời gian, hồ sơ được cập nhật trở thành bản chính thức,
IDS chuyển sang chế độ phát hiện và mỗi khi có gói tin đến sẽ được so với hồ
sơ cơ sở. Vì vậy khi có bất kỳ hoạt động độc hại nào đã tồn tại từ đầu khi IDS ở
chế độ học tập, tạo hồ sơ cơ sở, hoạt động này sẽ trở thành 1 phần của hồ sơ và
sẽ không bị phát hiện
 c) Phát hiện phân tích giao thức trạng thái (Stateful Protocol Analysis
Detection)
Phương pháp này tương tự như phát hiện dựa trên sự bất thường, ngoại trừ việc
các cấu hình được tạo bởi các nhà cung cấp thiết bị cảm biến. Các cấu hình
được xác định trước và tạo thành từ hoạt động lưu lượng mạng lành tính được
chấp nhận chung theo quy định của tiêu chuẩn. “Trạng thái” ở đây có nghĩa là
IDS có khả năng theo dõi trạng thái của giao thức cả ở lớp mạng và lớp ứng
dụng. Ví dụ, trong trường hợp trạng thái thiết lập kết nối TCP, IDS phải nhớ tất
cả các trạng thái kết nối. Tương tự, trong trường hợp xác thực, phiên kết nối
ban đầu ở trạng thái không được phép và IDS cần ghi nhớ những trạng thái này.
Sau khi trao đổi một số thông tin giữa 2 bên, máy khách và máy chủ, người
dùng được xác thực và được phép truy cập vào mạng. Trong giai đoạn này, lưu
lượng truy cập là an toàn và IDS nên ghi nhớ để không dẫn đến các kết quả
dương tính giả.

Phương pháp phát hiện trạng thái bất thường của giao thức sử dụng các cấu
hình đã được tạo dựa trên các tiêu chuẩn và thông số kỹ thuật do nhà cung cấp
chỉ định, những người thường tuân thủ hầu hết các cơ quan tiêu chuẩn. Nếu bất
kì nhà cung cấp nào triển khai các giao thức, với sự thay đổi của các tiêu chuẩn,
thì điều đó sẽ gây khó khăn cho IDS trong việc phát hiện và phân tích các trạng
thái. Trong những lúc như vậy, các mô hình giao thức IDS cũng cần được cập
nhật để thay đổi giao thức phù hợp.

Hạn chế chính của cơ chế này là chúng tốn nhiều quy trình và bộ nhớ giống như
nhiều giao thức, và IDS phải theo dõi trạng thái của chúng đồng thời. Một vấn
đề khác là nếu một cuộc tấn công nằm trong hành vi giao thức được chấp nhận
chung, thì nó có thể đi qua. Nếu việc triển khai các giao thức khác nhau giữa
các hệ điều hành thì IDS có thể không hoạt động tốt trong việc phát hiện các
xâm nhập.

2.4: So sánh IDS với Firewall và IPS

Nếu chỉ mới tìm hiểu sơ qua IDS là gì, không ít người sẽ lầm tưởng IDS với
IPS và tường lửa. Thế nhưng nếu xét trên quy mô hoạt động, 3 cơ chế này có sự khác
biệt, tường lửa hay IPS chưa thể đáp ứng yêu cầu bảo mật, chống lại những cuộc tấn
công quy mô lớn.
2.4.1: IDS và Firewall

+ Tường lửa xem xét các quy tắc kiểm soát. Một packet sẽ được cho phép hoặc
từ chối. Quy tắc sẽ chỉ ra rằng nên cho phép một máy chủ hay một mạng, một
ứng dụng vào mạng đáng tin cậy hay không. Một tường lửa phải kiểm tra tiêu
đề của giao thức TCP/IP như FTP, HTTP hoặc Telnet. Tuy nhiên, nó không
kiểm tra nội dung dữ liệu của packet mạng. Ngay cả khi dữ liệu chức một mã
độc, tường lửa vẫn sẽ cho phép packet này qua vì tiêu đề của nó đã tuân thủ các
quy tắc được cấu hình trong tường lửa. Do đó, mặc dù bạn có tường lửa nhưng
mạng lưới của bạn vẫn có thể bị xâm nhập.

+ IDS kiểm tra từng nội dung của packet thông qua mạng để phát hiện bất kỳ
hoạt động độc hại nào. Mọi packet đều được bóc tách tới phần “nội dung dữ
liệu” để kiểm tra xem có mã độc nào không rồi packet được ráp lại thành dạng
ban đầu và được gửi đi. Như bạn có thể thấy, mọi packet đều được mổ xẻ và
sau đó lắp ráp trở lại ở tầng ba, điều này làm cho IDS trở nên mạnh hơn khi so
sánh với tường lửa.

 Tường lửa là một thành phần không thể thiếu trong cấu trúc liên kết
bảo mật mạng tổng thể nhưng chỉ riêng tường lửa thôi thì không đủ.
Hầu hết các mạng hiện đại đều có IDS như một phần thiết yếu của kiến
trúc bảo mật.

2.4.2: IDS và IPS

 + Hệ thống chống xâm nhập (IPS) được sử dụng để ngăn chặn xâm nhập. Đó
là một phần mở rộng của IDS. IDS chỉ phát hiện ra trong khi IPS bảo vệ mạng
khỏi sự xâm nhập bằng cách thả packet, từ chối nhập vào packet hoặc chặn kết
nối. IPS và IDS cùng nhau giám sát lưu lượng mạng đối với các hoạt động độc
hại và IPS được coi là một phần mở rộng của IDS. Sự khác biệt là các IPS được
đặt trong inline để ngăn chặn xâm nhập và IPS có thể đưa ra quyết định như bỏ
packet hoặc đặt lại kết nối cùng với việc gửi cảnh báo đến bảng điều khiển quản
lý. IPS cũng có thể phát hiện/sửa chữa các packet bị phân mảnh, lỗi kiểm dư
thừa theo chu kỳ (CRC) hoặc các vấn đề sắp xếp TCP

+ Sự khác nhau giữa IDS và IPS:

- IDS: Phân tích và giám sát lưu lượng mạng để tìm các dấu hiệu của tấn
công mạng. Hệ thống này so sánh các hoạt động mạng hiện tại với CSDL
sẵn có để xác định hành vi đáng ngờ như: vi phạm chính sách, malware hay
port scanner.
- IPS: Nằm trong cùng khu vực với firewall trên cơ sở hạ tầng (giữa môi
trường bạn ngoài ra mạng ở trong). IPS chủ động chặn các lưu lượng dựa
trên một cấu hình bảo mật cụ thể.

PHÂN 3: PHÂN LOẠI CÁC HỆ THỐNG IDS

Có nhiều loại IDS khác nhau, mỗi loại có một chức năng và nhiệm vụ riêng
nhưng về cơ bản IDS gồm 2 loại chính là NIDS và HIDS.

3.1: Network-based Instruction Detection System (NIDS)

NIDS (Network Intrusion Detection System): Hệ thống phát hiện xâm nhập
mạng, hệ thống sẽ tập hợp các gói tin để phân tích sâu bên trong nhằm xác định các
mối đe dọa tiềm tàng mà không làm thay đổi cấu trúc của gói tin. Nó kiểm tra từng
packet đang xâm nhập vào mạng để đảm bảo rằng nó không chứa bất kỳ nội dung độc
hại nào. NIDS liên tục giám sát lưu lượng mạng. Lưu lượng truy cập được so sánh với
các cấu hình đã biết và nếu có bất thường nào được tìm thấy trong lưu lượng truy cập
thì NIDS sẽ kích hoạt cảnh báo cho bảng điều khiển quản lý. Một sensor duy nhất (như
hình dưới) được triển khai ở chế độ hỗn tạp hoặc chế độ inline có thể giám sát/bảo vệ
một số máy chủ trong mạng.
NIDS bảo vệ mạng từ quan điểm mạng và tài nguyên của nó. Ví dụ, NIDS có
thể phát hiện các cuộc tấn công do thám, các cuộc tấn công từ chối dịch vụ (DoS) ngay
ở cấp dộ mạng. NIDS sẽ tạo cảnh báo ngay khi phát hiện ra những cuộc tấn công này.
NIDS là một giải pháp phần cứng/phần mềm được đặt gần tường lửa như một thiết bị
độc lập và có hệ điều hành mạng (TCP/IP). Các sensor có các giao diện để giám sát
mạng và một giao diện quản lý được sử dụng để kiểm soát và gửi các cảnh báo này
đến bộ điều khiển quản lý trung tâm.

Kiến trúc chung của NIDS dựa trên máy chủ (NIDS). Cấu trúc hoạt động của
NIDS và vị trí của nó trong mạng

3.1.1: Ưu điểm của NIDS

 Quản lý được cả một network segment (gồm nhiều host).
 NIDS có thể được tạo ra rất an toàn trước sự tấn công và thậm chí là vô
hình đối với nhiều kẻ tấn công.
  Việc triển khai NIDS có ít ảnh hưởng đến mạng hiện có. NIDS thường là
thiết bị thụ động nghe trên dây mạng mà không can thiệp vào hoạt động
bình thường.
 Tránh DOS ảnh hưởng tới một host nào đó.
 Có khả năng xác định lỗi ở tầng Network.
 Độc lập với OS.

3.1.2: Nhược điểm của NIDS

 Không thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH,
IPSec...)
 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an
toàn
 Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi
báo động được phát hiện, hệ thống có thể đã bị tổn hại.
 Không cho biết việc tấn công có thành công hay không
 Hạn chế lớn nhất là giới hạn băng thông. Những bộ dò mạng phải nhận
tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích
chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng
theo.

3.2: Host-based Instruction Detection System (HIDS)

HIDS (Host-based Intrusion Detection System): Hệ thống phát hiện xâm
nhập máy chủ, được cài đặt trực tiếp trên các máy tính cần theo dõi. HIDS giám sát
lưu lượng đến và đi từ thiết bị để cảnh báo người dùng về những xâm nhập trái phép.
Nó liên tục giám sát nhật ký sự kiện, nhật ký hệ thống, nhật ký ứng dụng, thực thi
chính sách người dùng, phát hiện rootkit, tính toàn vẹn tệp và các xâm nhập khác vào
hệ thống. Nó liên tục theo dõi các bản ghi này và tạo ra một baseline. Nếu bất kỳ mục
nhập nhật ký mới nào xuất hiện, HIDS sẽ kiểm tra dữ liệu dựa trên baseline và nếu có
mục nhập nào được tìm thấy bên ngoài baseline này, HIDS sẽ kích hoạt cảnh báo. Nếu
phát hiện bất cứ hoạt động trái phép nào, HIDS có thể cảnh báo người dùng hoặc chặn
hoạt động hoặc thực hiện bất kỳ quyết định nào khác dựa trên chính sách người dùng
được cấu hình trên hệ thống.
Hầu hết các sản phẩm HIDS cũng có khả năng ngăn chặn các cuộc tấn công.
Tuy nhiên, ban đầu nó được triển khai ở chế độ cửa sổ và sau khi hiểu được hoạt động
của hệ thống, một baseline được hình thành và sau đó HIDS được triển khai ở chế độ
ngăn chặn. Chức năng của HIDS phụ thuộc vào các nhật ký được tạo ra bởi hệ thống
và thực tế là những kẻ xâm nhập để lại bằng chứng về các hoạt động của họ. Thông
thường, tin tặc có quyền truy cập vào hệ thống và cài đặt các công cụ độc hại để truy
cập trong tương lai của chúng trở nên dễ dàng hơn. Nếu các công cụ này thay đổi cấu
hình hệ điều hành, hoặc các mục nhập của một số windows registry, nó sẽ được cập
nhật vào hệ thống/nhật ký sự kiện, do đó sẽ kích hoạt cảnh báo của hệ thống HIDS.
 Kiến trúc chung của IDS dựa trên máy chủ (HIDS). Cấu trúc hoạt động của
HIDS và vị trí của nó trong mạng:

3.2.1: Ưu điểm của HIDS

 Xác minh sự thành công hay thất bại của một cuộc tấn công: Vì HIDS sử
dụng nhật ký hệ thống chứa các sự kiện đã xảy ra, chúng có thể xác định
liệu một cuộc tấn công có xảy ra hay không.
 Theo dõi hoạt động của Hệ thống: Một cảm biến HIDS giám sát hoạt
động truy cập tệp và người dùng bao gồm truy cập tệp, thay đổi quyền
đối với tệp, cài đặt tệp thực thi mới, v.v.
 Phát hiện các cuộc tấn công mà NIDS không phát hiện được: Các hệ
thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà các cảm
biến NIDS không phát hiện được. Ví dụ: nếu một người dùng trái phép
thực hiện các thay đổi đối với các tệp hệ thống từ bảng điều khiển hệ
thống, thì kiểu tấn công này sẽ không được các cảm biến mạng chú ý.
 Phát hiện và phản hồi gần thời gian thực: Mặc dù HIDS không cung cấp
phản hồi thời gian thực thực sự, nhưng nó có thể gần bằng nếu được
triển khai đúng cách.
 Chi phí đầu vào thấp hơn: Cảm biến HIDS rẻ hơn nhiều so với cảm biến
NIDS
 3.2.2: Nhược điểm của HIDS
 HIDS khó quản lí hơn vì phải được định cấu hình và quản lí cho mọi
máy chủ.
 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công
 HIDS không phù hợp để phát hiện các cuộc quét mạng hoặc giám sát
khác nhắm mục tiêu toàn bộ mạng...
 HIDS có thể bị vô hiệu hóa bởi một số cuộc tấn công từ chối dịch vụ.

3.3: Một số hệ thống IDS khác

 Hệ thống phát hiện xâm nhập dựa trên chữ ký (SIDS) giám sát tất cả các gói
truyền qua mạng và so sánh chúng với cơ sở dữ liệu các chữ ký tấn công hoặc
thuộc tính của các mối đe dọa độc hại đã biết, giống như phần mềm chống
Virus.
 Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng (APIDS)
 Hệ thống phát hiện xâm nhập dựa trên giao thức (PIDS)
3.4: Các ứng dụng IDS phổ biến hiện nay
* Snort:
Snort, có sẵn cho Windows, Fedora, Centos và FreeBSD, là một hệ thống phát
hiện xâm nhập mạng (NIDS) mã nguồn mở, có khả năng thực hiện phân tích
lưu lượng thời gian thực và ghi nhật ký gói trên mạng IP.
Nó thực hiện phân tích giao thức, tìm kiếm và đối sánh nội dung, đồng thời có
thể được sử dụng để phát hiện nhiều loại tấn công và thăm dò, chẳng hạn
như tràn bộ đệm (buffer overflow), quét cổng ẩn, tấn công CGI, nỗ lực OS
fingerprinting (quá trình tin tặc trải qua để xác định loại hệ điều hành đang
được sử dụng trên máy tính được nhắm mục tiêu), v.v...

* Suricata:
Suricata là một gói mã nguồn mở cung cấp khả năng phát hiện, ngăn chặn xâm
nhập và giám sát mạng trong thời gian thực. Suricata sử dụng các quy tắc, ngôn
ngữ chữ ký, v.v... để phát hiện những mối đe dọa phức tạp.
Suricata có sẵn cho Linux, macOS, Windows và các nền tảng khác. Phần mềm
này miễn phí và có một số sự kiện đào tạo công khai có tính phí được lên lịch
hàng năm để đào tạo nhà phát triển. Các sự kiện đào tạo chuyên dụng cũng có
sẵn từ Open Information Security Foundation (OISF), tổ chức sở hữu code
Suricata.
* Zeek:
 Trước đây được gọi là Bro, Zeek là một công cụ phân tích mạng mạnh mẽ tập
trung vào giám sát an ninh cũng như phân tích lưu lượng mạng nói chung.
Ngôn ngữ dành riêng cho domain của Zeek không dựa trên chữ ký truyền
thống. Thay vào đó, Zeek ghi lại mọi thứ nó thấy trong kho lưu trữ hoạt động
mạng cấp cao. Zeek hoạt động với Unix, Linux, Free BSD và Mac OS X.

* Prelude OSS:
Prelude OSS là phiên bản mã nguồn mở của Prelude Siem, một hệ thống phát
hiện xâm nhập sáng tạo được thiết kế theo kiểu mô-đun, phân tán, đáng tin cậy
và nhanh chóng. Prelude PMNM phù hợp với các cơ sở hạ tầng CNTT quy mô
hạn chế, các tổ chức nghiên cứu và đào tạo. Nó không dành cho các mạng kích
thước lớn hoặc quan trọng. Hiệu suất của Prelude OSS bị hạn chế nhưng đóng
vai trò là phần giới thiệu cho phiên bản thương mại.

* Malware Defender
Malware Defender là một hệ thống phát hiện xâm nhập máy chủ (HIDS), theo
dõi một host duy nhất để tìm hoạt động đáng ngờ. Đây là hệ thống phát hiện
phần mềm độc hại và ngăn chặn xâm nhập tương thích với Windows, miễn phí
dành cho người dùng nâng cao.
Malware Defender cũng là một trình phát hiện rootkit tiên tiến, với nhiều công
cụ hữu ích để phát hiện và loại bỏ phần mềm độc hại đã được cài đặt sẵn.
Malware Defender rất phù hợp để sử dụng tại nhà, mặc dù tài liệu hướng dẫn
của nó hơi phức tạp.
Hệ thống phát hiện xâm nhập máy chủ chạy trên từng host hoặc thiết bị trên
mạng. Chúng giám sát các gói gửi đến và đi từ thiết bị, cũng như sẽ cảnh báo
cho người dùng hoặc quản trị viên nếu phát hiện hoạt động đáng ngờ.

PHẦN 4: KẾT LUẬN

Có thể nói, IDS là một công cụ phát hiện xâm nhập được sử dụng nhiều hiện
nay. Trong thời đại bùng nổ của công nghệ số như hiện nay thì việc trang bị một IDS
cho doanh nghiệp là việc cấp thiết và thiết thực để bảo vệ chính doanh nghiệp của
mình khỏi những nguy cơ tiềm ẩn trong hệ thống.
Tuy nhiên, IDS có thể bị tấn công vào hệ thống khi:
- Từ chối dịch vụ (DoS): IDS hoàn toàn có khả năng bị từ chối dịch vụ nhằm
tiêu tốn tài nguyên hệ thống (bộ nhớ, CPU, băng thông mạng,...).
- Tấn công đánh lừa IDS: việc sử dụng các kỹ thuật can thiệp, thay đổi cấu
trúc gói tin để đánh giá khả năng xử lý của IDS đối với các kiểu dữ liệu đầu
vào.
 Để IDS được hoạt động tốt nhất, các bạn có thể tham khảo một số tiêu chí triển
khai IDS sau:
- Xác định công nghệ IDS đã, đang hoặc sẽ triển khai.
- Xác định những thành phần của IDS.
- Thiết lập và cấu hình an toàn cho IDS.
- Xác định vị trí hợp lý và phù hợp để lắp đặt IDS.
- Có cơ chế xây dựng, tổ chức và quản lý hệ thống luật - rule.
- Hạn chế các tình huống cảnh báo nhầm hoặc không cảnh báo khi có xâm
nhập.
Hy vọng rằng qua bài tập lớn trên chúng em đã đáp ứng được phần nào các mục tiêu
đã đề ra từ ban đầu, thể hiện một số kiến thức cơ bản của cấu trúc các hệ thống IDS
cũng như một vài hệ thống bảo mật tương tự. IDS cũng là hệ thống bảo mật đặc biệt
cho server, tuy nhiên mỗi người chúng ta cần nâng cao nhận thức về bảo mật thông tin,
đặc biệt là bảo mật dữ liệu cá nhân để tránh các nguy cơ mất an toàn thông tin trên
mạng Internet. Tuy biết rằng chắc chắn sẽ còn nhiều thiếu sót nhưng chúng em sẽ cố
gắng tìm hiểu và trao dồi thêm trong tương lai.

PHẦN 5: TÀI LIỆU THAM KHẢO

 Umesh Hodeghatta Rao và Umesha Nayak, The Infosec Handbook, 1st Editon,
2014
 William Stalling, Computer Security – Principles and Practice. Pearson
Education Inc., 7th Edition, 2017.
 Các trang web, bài viết tham khảo:
o Hệ thống phát hiện xâm nhập (IDS) (Phần 1) - QuanTriMang.com
o Hệ thống phát hiện xâm nhập IDS gồm những loại nào?
(itnavi.com.vn)
o Top 5 phần mềm phát hiện (IDS) và ngăn chặn xâm nhập (IPS)
miễn phí (quantrimang.com)
o [Network] Tìm hiểu cơ chế, cách hoạt động của IDS (phần 1)
(viblo.asia)
o Advantages and disadvantages of NIDS (solutions24h.com)
o Advantages and disadvantages of HIDS (solutions24h.com)