BỘ GIÁO DỤC VÀ ĐÀO TẠO

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC PHẦN
AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

CHỦ ĐỀ 16 : Tìm hiểu về hệ thống phát hiện tấn công, đột

nhập OSSEC: kiến trúc, cài đặt, cấu hình, tạo luật; xây dựng
3 kịch bản phát hiện tấn công.

Thành viên nhóm 11 và phân công:

1. Hoàng Trung Trường - B20DCCN706 -

2. Đặng Hữu Hiếu - B20DCCN243 - Viết báo cáo
3. Phạm Thanh Tú - B20DCCN610 -
4. Nguyễn Việt Lương - B20DCCN413 -

Hà Nội, năm 2023

1
 I. Giới thiệu

- Để hiểu hơn về hệ thống phát hiện xâm nhập OSSEC trước tiên ta nên hiểu
qua về hệ thống phát hiện xâm nhập IDS (Intrusion Detection Tools), giới
thiệu về hệ thống phát hiện xâm nhập IDS :
+) Hệ thống phát hiện xâm nhập IDS là hệ thống phát hiện các dấu hiệu
của tấn công xâm nhập, đồng thời có thể khởi tạo các hành động trên thiết
bị khác để ngăn chặn tấn công. Khác với firewall, IDS không thực hiện
các thao tác ngăn chặn truy nhập mà chỉ theo dõi các hoạt động trên mạng
để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng.
 Firewall theo dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xảy
ra, nó giới hạn truy nhập giữa các mạng để ngăn chặn sự xâm nhập
nhưng không phát hiện được cuộc tấn công từ bên trong mạng.
 IDS sẽ đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời
phát ra cảnh báo, nó theo dõi được cả các cuộc tấn công có nguồn gốc
từ bên trong một hệ thống.

 Dựa trên phạm vi giám sát, IDS được chia thành 2 loại:
o Network-based IDS (NIDS): Là những IDS giám sát trên toàn bộ
mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang
lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của
mạng, có thể đứng trước hoặc sau tường lửa.
o Host-based IDS (HIDS): Là những IDS giám sát hoạt động của
từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của
HIDS ngòai lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ
thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống
(system audit).

 HIDS có một số điểm cải tiến hơn so với NIDS:

o Phù hợp với môi trường dữ liệu mã hóa ngày càng phổ biến. HIDS
có khả năng đọc được các dữ liệu (log) được mã hóa tại server
nhận.
o Thích hợp trong các mạng được chuyển đổi nơi mà chỉ có máy chủ
lưu trữ cuối cùng mới có thể nhìn thấy lưu lượng truy cập.
o Theo dõi được các tiến trình sử dụng của người dùng tại máy chủ.
o Có khả năng phát hiện và phản ứng với thời gian thực.
o Xác minh khả năng của một cuộc tấn công. NIDS thường đưa ra
một cảnh báo sớm, còn HID có khả năng xác minh xem một cuộc

2
 tấn công hay xâm nhập trái phép có khả năng thành công hay thất
bại.
o Khắc phục các cuộc tấn công mà NIDS không thể cảnh báo được
như tấn công phân mảnh hay ghép nối phiên.
=> Vì những lý do như vậy mà OSSEC được phát triển theo HIDS
chứ không phải NIDS.
 Dựa trên kỹ thuật phát hiện, IDS cũng được chia thành 2 loại:
o Signature-based IDS: Signature-based IDS phát hiện xâm nhập
dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu
lượng mạng và log hệ thống.
o Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh
(mang tính thống kê) các hành vi hiện tại với hoạt động bình
thường của hệ thống để phát hiện các bất thường (anomaly).

- Giới thiệu về OSSEC : OSSEC là hệ thống phát hiện xâm nhập dựa trên host
(HIDS) dựa trên log mã nguồn mở, miễn phí, đa nền tảng có thể mở rộng và có
nhiều cơ chế bảo mật khác nhau. OSSEC có thể phát hiện xâm nhập bằng cả chữ
ký hoặc dấu hiệu bất thường. Các dấu hiệu bình thường và bất thường được mô
tả trong bộ luật của OSSEC. OSSEC có một công cụ phân tích và tương quan
mạnh mẽ, tích hợp giám sát và phân tích log, kiểm tra tính toàn vẹn của file,
kiểm tra registry của Windows, thực thi chính sách tập trung, giám sát chính
sách, phát hiện rootkit, cảnh báo thời gian thực và phản ứng một cách chủ động
cuộc tấn công đang diễn ra. Các hành động này cũng có thể được định nghĩa
trước bằng luật trong OSSEC để OSSEC hoạt động theo ý muốn của người quản
trị. Ngoài việc được triển khai như một HIDS, nó thường được sử dụng như một
công cụ phân tích log, theo dõi và phân tích các bản ghi lại, IDS, các máy chủ
Web và các bản ghi xác thực. OSSEC chạy trên hầu hết các hệ điều hành, bao
gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris và Microsoft
Windows. OSSEC còn có thể được tích hợp trong trong các hệ thống bảo mật
lớn hơn là SIEM (Security information and event management). OSSEC chỉ có
thể cài đặt trên Windows với tư cách là một agent.

- Các tính năng nổi bật của OSSEC :

 Theo dõi và phân tích các log: OSSEC thu thập log theo thời gian thực
từ nhiều nguồn khác nhau để phân tích (giải mã, lọc và phân loại) và đưa
ra cảnh báo dựa trên bộ luật được xây dựng trước. OSSEC phát hiện các
cuộc tấn công trên mạng, hệ thống hoặc ứng dụng cụ thể bằng cách sử
dụng log làm nguồn thông tin chính. Log cũng rất hữu ích để phát hiện
việc khai thác lổ hổng phần mềm, vi phạm chính sách và các hình thức

3
 hoạt động không phù hợp khác. Một số loại log mà OSSEC có thể phân
tích là log proxy, log web, log ghi lại xác thực, system log.
 Kiểm tra tính toàn vẹn của file: Sử dụng hàm băm mật mã, có thể tính
toán giá trị băm của mỗi file trong hệ điều hành dựa trên tên file, nội
dung file và giá trị băm này là duy nhất. OSSEC có thể giám sát các ổ đĩa
để phát hiện các thay đổi của giá trị băm này khi có ai đó, hoặc điều gì
đó, sửa đổi nội dung của file hoặc thay thế phiên bản file này bằng một
phiên bản file khác.
 Giám sát Registry: Hệ thống Registry là danh sách thư mục tất cả các
cài đặt phần cứng và phần mềm, các cấu hình hệ điều hành, người dùng,
nhóm người dùng, và các preference trên một hệ thống Microsoft
Windows. Các thay đổi được thực hiện bởi người dùng và quản trị viên
đối với hệ thống được ghi lại trong các khóa registry để các thay đổi được
lưu khi người dùng đăng xuất hoặc hệ thống được khởi động lại.
 Phát hiện Rootkit: OSSEC phát hiên Rootkit dựa trên chữ ký, rootkit là
công cụ cho phép kẻ đột nhập khả năng xâm nhập trở máy tính bị cài
rootkit và xóa dấu vết về sự tồn tại của nó. Kẻ xâm nhập có thể sử dụng
rootkit để ăn cắp thông tin và tài nguyên từ máy tính nạn nhân. OSSEC
có khả năng phát hiện rootkit bằng cách đọc file cơ sở dữ liệu về rootkit
và tiến hành quét hệ thống định kỳ, thực hiện các lời gọi hệ thống để phát
hiện các file không bình thường, các tiến trình ấn, các dấu hiệu vượt
quyền, các cổng ẩn và so sánh chúng với cơ sở dữ liệu để phát hiện
rootkit.
 Phản ứng chủ động: Phản ứng chủ động cho phép các IDS nói chung và
OSSEC nói riêng tự động thực thi các lệnh hoặc phản ứng khi một sự
kiện hoặc tập hợp sự kiện cụ thể được kích hoạt. Phản ứng chủ động có
thể được xác định bằng luật. Các lợi ích của phản ứng chủ động là rất lớn,
nhưng cũng rất nguy hiểm, có thể ngăn chặn kết nối hợp pháp hoặc là lổ
hổng để kẻ tấn công khai thác.

- Ưu điểm của OSSEC so với các hệ thống khác :

 Đa nền tảng (Linux, Mac OS , Window, Solaris)
 Real-time Alert (Cảnh báo thời gian thực)
o Kết hợp với smtp,sms,syslog sẽ cho phép người dùng nhận cảnh
báo trên các thiết bị có hỗ trợ email
o Ngoài ra tính năng Active-respone có thể giúp block 1 cuộc tấn
công ngay lập tức.
 Có thể tích hợp với các hệ thống hiện đại (SIM/SEM)
 Mô hình Server – Agent/Agentless, cho phép Server dễ dàng quản lý tập
trung các chính sách trên nhiều OS.

4
  Giám sát trên agent, agentless (Client không cài đặt được gói agent) như
router, firewall

II. Nội dung

1) Kiến trúc
- Ossec hoạt động theo mô hình Server-Agent/Agentless, gồm 2 thành phần
chính là OSSEC server và OSSEC agent

 OSSEC SERVER:
o Đây là phần trung tâm và quan trọng nhất của OSSEC. Server là
nơi lưu trữ dữ liệu. Tất cả các luật, bộ giải mã (decoder) cũng được
lưu trữ trên server.
o Server còn đảm nhận nhiệm vụ quản lý các agent. Các agent kết
nối với máy chủ trên cổng 1514 hoặc 514, giao thức UDP. Kết nối
với cổng này phải được cho phép để các agent kết nối với manager.
o Nhiệm vụ quan trọng nhất của server là phân tích các log nhận
được từ các agent hay agentless (gọi chung là client) và xuất ra các
cảnh báo. Các cảnh báo này có thể xuất ra cho các các công cụ xử
lý log như Logstash, Elastic Search để hiển thị cho người quản trị
bằng Kibana, lưu trữ trong cơ sở dữ liệu.
 OSSEC Agent:
o Agent (đầy đủ là installable agent) là một chương trình nhỏ, hoặc
tập hợp các chương trình, được cài đặt trên các hệ thống được giám
sát.
o Agent sẽ thu thập thông tin và gửi cho manager để phân tích và so
sánh. Một số thông tin được thu thập trong thời gian thực, những
thông tin khác theo định kỳ.
o Agent có một bộ nhớ rất nhỏ và sử dụng rất ít CPU, không ảnh
hưởng đến việc sử dụng của hệ thống. Server cấu hình cho các
agent. Các agent được cài đặt trên các host và chúng gửi lại các log
cho server thông qua giao thức thông điệp được mã hóa OSSEC.
o Các modul chức năng của agent là: giám sát host, kiểm tra tính
toàn vện file trên máy host mà nó được cài, phát hiện rootkit trên
máy host, đọc các log và gửi các log cho server.
o Agentless là tính năng hỗ trợ cho các thiết bị không cài đặt được
agent theo cách bình thường như router, switch, tường lửa. Nó có
chức năng như agent. Agentless kết nối để gửi thông điệp, log cho
manager bằng các phương thức RPC.

5
Ngoài ra OSSEC cũng hỗ trợ thêm một số tính năng:

 Ảo hóa/Vmware ESX: OSSEC cho phép người quản trị cài đặt agent
trên các hệ điều hành guest. Agent cũng có thể được cài đặt bên trong
một số phiên bản của VMWare ESX, nhưng điều này có thể gây ra các
vấn đề kỹ thuật. Với agent được cài đặt bên trong VMware ESX, người
quản trị có thể nhận được thông báo về thời điểm một máy khách VM

6
 đang được cài đặt, gỡ bỏ, khởi động, vv…Agent cũng giám sát các đăng
nhập, đăng xuất và lỗi bên trong máy chủ ESX.
 Router, tường lửa và switch: OSSEC có thể nhận và phân tích các sự
kiện trong syslog từ rất nhiều router, tường lửa và switch. Đây có thể là
nguồn thu thập log rất hiệu quả để manager phân tích, đưa ra các dấu
hiệu, cảnh báo về các cuộc xâm nhâp trên mạng cho quản trị viên vì
OSSEC không phải là NIDS.
2) Quy trình hoạt động

- OSSEC hoạt động theo mô hình Client – Server:

 Các agent có trách nhiệm theo dõi và thu thập log từ các máy host được
cài đặt, mã hóa chúng và gửi cho server theo giao thức UDP, cổng 1514.
 Server chịu trách nhiệm nhận log từ agent và phân tích chúng, so sánh với
các luật.
 Log đã được xử lý sẽ được server chuyển về hệ thống được tích hợp ELK
để lưu trữ và hiển thị cảnh báo cho admin theo giao diện web.
3) Cài đặt và cấu hình

………………………….

4) Luật và tạo luật trong OSSEC

- Luật (rules) là một phần vô cùng quan trọng trong hệ thống OSSEC, nó chính
là cốt lõi trong việc đảm bảo hệ thống OSSEC có được hoạt động theo quy trình,
chính xác và hiệu quả hay không. Rules có định dạng XML, được cấu hình trong
ossec server /var/ossec/etc/ossec.config và nằm trong thẻ <ossec_config>. Rules
được lưu trong /var/ossec/rules.

a) Các đặc điểm của luật OSSEC

 OSSEC có 16 cấp độ luật:

00 - Ignored: Không thực hiện hành động nào. Khi gặp luật có cấp độ này
thì sẽ không có thông báo. Các luật này được quét trước tất cả các luật
khác. Chúng bao gồm các sự kiện không có sự liên quan về bảo mật.

01 - None (không).

7
02 - System low priority notification (hệ thống thông báo ưu tiên thấp):
Thông báo hệ thống hoặc thông báo trạng thái. Không có sự liên quan về
bảo mật.

03 - Successful/Authorized events (sự kiện thành công/được ủy quyền):

Bao gồm các lần đăng nhập thành công, tường lửa cho phép sự kiện, v.v.

04 - System low priority error (lỗi ưu tiên hệ thống thấp): Các lỗi liên
quan đến cấu hình hoặc thiết bị/ứng dụng không sử dụng. Chúng không có
sự liên quan về bảo mật và thường được gây ra bởi các cài đặt mặc định
hoặc kiểm thử phần mềm.

05 - User generated error (lỗi do người dùng tạo): Chúng bao gồm mật
khẩu bị bỏ lỡ, hành động bị từ chối, v.v. Chính chúng không có sự liên
quan về bảo mật.

06 - Low relevance attack (tấn công mức độ liên quan thấp): Chúng chỉ ra
một con sâu hoặc virus không ảnh hưởng đến hệ thống (như mã màu đỏ
cho các máy chủ apache, vv). Chúng cũng bao gồm các sự kiện IDS
thường xuyên và các lỗi thường xuyên.

07 - “Bad word” matching (kết hợp “Từ xấu”): Chúng bao gồm các từ như
"bad", "error", v.v. Những sự kiện này hầu như không được phân loại và
có thể có một số mức độ liên quan về bảo mật.

08 - First time seen (lần đầu tiên nhìn thấy): Bao gồm các sự kiện lần đầu
tiên được xem. Lần đầu tiên một sự kiện IDS được kích hoạt hoặc lần đầu
tiên người dùng đăng nhập. Nếu bạn mới bắt đầu sử dụng OSSEC HIDS,
những thông báo này có thể sẽ thường xuyên. Sau một thời gian sẽ giảm
dần, Nó cũng bao gồm các hành động bảo mật có liên quan (như bắt đầu
của một sniffer).

09 - Error from invalid source (lỗi từ nguồn không hợp lệ): Bao gồm các
lần đăng nhập dưới dạng người dùng không xác định hoặc từ nguồn không
hợp lệ. Có thể có sự liên quan về bảo mật (đặc biệt nếu được lặp lại).
Chúng cũng bao gồm các lỗi liên quan đến tài khoản "quản trị" (root).

10 - Multiple user generated errors (tập hợp lỗi do người dùng tạo): Chúng
bao gồm nhiều mật khẩu không hợp lệ, nhiều lần đăng nhập không thành
công, v.v. Họ có thể chỉ ra một cuộc tấn công hoặc có thể chỉ là người
dùng vừa quên thông tin đăng nhập của mình.

8
 11 - Integrity checking warning (cảnh báo kiểm tra tính toàn vẹn): Chúng
bao gồm các thông báo liên quan đến việc sửa đổi các tệp nhị phân hoặc
sự hiện diện của rootkit (bằng kiểm tra root). Nếu bạn chỉ cần sửa đổi cấu
hình hệ thống của bạn, bạn sẽ được báo về các thông báo "syscheck". Nó
có thể chỉ ra một cuộc tấn công thành công. Cũng bao gồm các sự kiện
IDS sẽ bị bỏ qua (số lần lặp lại cao).

12 - High importancy event (sự kiện quan trọng cao): Chúng bao gồm các
thông báo lỗi hoặc cảnh báo từ hệ thống, hạt nhân, v.v. Chúng có thể chỉ
ra một cuộc tấn công chống lại một ứng dụng cụ thể.

13 - Unusual error (high importance) - Lỗi bất thường (mức độ quan trọng
cao): Hầu hết các lần khớp với một kiểu tấn công chung.

14 - High importance security event (sự kiện bảo mật quan trọng cao):
Hầu hết thời gian được thực hiện với sự tương quan và nó chỉ ra một cuộc
tấn công.

15 - Severe attack (tấn công nghiêm trọng): Cần chú ý ngay lập tức.

 Rules trong OSSEC được hỗ trợ quản lý theo nhóm, các bộ luật được xây
dựng sẵn trong hệ thống OSSEC thuộc 12 nhóm sau:

invalid_login; authentication_success; authentication_failed;

connection_attempt; attacks; adduser; sshd; ids; firewall; squid;
apache; syslog

=> Đặc biệt: admin có thể tự tạo một group chứa một hoặc nhiều bộ luật
mới.

- Một vài thuộc tính của 1 rule trong OSSEC:

 Level (bắt buộc phải có): thể hiện mức độ của rule, ossec có 16 cấp độ từ
0-15.
 Id (bắt buộc phải có): id của rule, mỗi rule sẽ có một id riêng biệt không
trùng lặp và là 1 trong các số từ 100-99999. (Khi tạo một luật mới nên đặt
ip từ khoảng 100.000).
 Maxsize: chỉ định kích thước tối đa của sự kiện tiến hành, là 1 trong các
số từ 1-99999.

9
  Frequency: chỉ định số lần rules được kiểm tra trước khi thực hiện. Số lần
kích hoạt phải gấp đôi số lần cài đặt. Ví dụ: tần sô = 2 => rule phải được
so sánh 4 lần.
 Timeframe: khung thời gian tính bằng giây, được sử dụng để kết hợp với
frequency.
 Ignore: thời gian (s) bỏ qua rule này.
 Overwrite: Cho phép chỉnh sửa rule.

b) Phân loại luật

- Trong OSSEC, luật được chia thành 2 loại: Luật nguyên tố và luật kết hợp:

 Luật nguyên tố - các luật xử lý 1 sự kiện: cảnh báo, thông báo hay hành
động ứng phó sẽ xuất hiện khi có 1 sự kiện thỏa mãn. Ví dụ: Bao nhiêu
lần đăng nhập thất bại sẽ xuất hiện bấy nhiêu lần thông báo.

<rule id="100000" level="7">

<list lookup="match_key" field="srcip">path/to/list/file</list>

<description>Checking srcip against cdb list file</description>

</rule>

 Luật kết hợp – xử lý nhiều sự kiện một lúc trong 1 luật:

o Có thể sử dụng với thẻ Frequency và Timeframe để xử lý một xự
kiện được diễn ra nhiều lần.
o Các luật được kết hợp với nhau thông qua id, sử dụng
thẻ <if_sid> hoặc
(<if_matched_sid> hoặc <same_id> hoặc <same_source_ip> - các
thẻ này được kết hợp với Frequency và Timeframe).

<rule id="100103" level="7">

<if_sid>100102</if_sid>

<match>^Failed</match>

<description>Fakeinc Custom: Failed password</description>

</rule>
10
c) Quy trình xử lý luật (rule) trong OSSEC

Sơ đồ quá trình xử lý rule trong OSSEC

- Chi tiết quá trình xử lý như sau:

+ Event: Khi có một sự kiện đến hệ thống bắt đầu quá trình tiền xử lý là giải mã
và trích xuất bất kỳ thông tin liên quan từ nó. Sau khi dữ liệu này được chiết
xuất, các công cụ phù hợp với quy tắc được gọi để kiểm tra nếu một cảnh báo
hệ thống cần cảnh báo.

+ Pre-decoding : Quá trình của tiền giải mã đơn giản là chỉ trích xuất thông tin
tĩnh từ các cột thông tin. Nó thường được sử dụng với những thông điệp đăng
nhập theo giao thức phổ dụng như lịch sử truy nhập hệ thống. Các thông tin
được trích trong giai đoạn này thường là các thông tin về thời gian, ngày tháng,
chương trình, tên máy tên, và thông điệp đăng nhập.

+ Decoding : Mục tiêu của giải mã để trích xuất thông tin không tĩnh từ các sự
kiện mà chúng ta có thể sử dụng các rule trong quá trình sau này. Nói chung,
chúng ta sẽ trích xuất thông tin địa chỉ, tên người dùng, và dữ liệu tương tự.

+ Rule matching : Giai đoạn này sẽ kiểm tra xem có khớp với các rule đã được
định nghĩa hay không để đưa ra quyết định xử lý.

11
+ Alerting : Tùy vào kết quả sau khi xem xét, có thể sẽ được lưu vào cơ sở dữ
liệu hoặc cảnh báo qua thư điện tử hoặc phản ứng lại.

5) Giải thuật của OSSEC

- Kiểm tra mật độ dữ liệu (Density Check): Giải thuật này kiểm tra mật
độ dữ liệu trên các file log để phát hiện các sự kiện bất thường, như tấn
công Brute Force hoặc lạm dụng các dịch vụ hệ thống.

- Kiểm tra tính toàn vẹn (Integrity Check): Giải thuật này giám sát các
file hệ thống để phát hiện các sự thay đổi không mong muốn, như sự thay
đổi tập tin hệ thống, file cấu hình hoặc thay đổi registry.

- Kiểm tra định dạng (Format Check): Giải thuật này kiểm tra định dạng
các file log để phát hiện các tấn công SQL injection hoặc lỗ hổng Cross-
Site Scripting (XSS).

- Kiểm tra thời gian (Time Check): Giải thuật này phát hiện các sự kiện
xảy ra ngoài giờ làm việc thông thường, như các hoạt động bất thường
vào ban đêm hoặc vào các ngày nghỉ.

- Kiểm tra tần số (Frequency Check): Giải thuật này giám sát các sự kiện
để phát hiện các hoạt động không bình thường, như các yêu cầu tới các
máy chủ quá tải hoặc tấn công phá hoại.

- Kiểm tra thông tin (Information Check): Giải thuật này phân tích các
file log để phát hiện các sự kiện bất thường, như các hoạt động của người
dùng mới hoặc các cuộc tấn công từ các địa chỉ IP lạ.

6) Các dạng tấn công và ứng dụng

a) Các dạng tấn công

- Tấn công từ chối dịch vụ (DoS): Tấn công DoS nhằm mục đích làm gián đoạn
hoạt động của hệ thống bằng cách gửi một lượng lớn yêu cầu đến máy chủ.
OSSEC có thể phát hiện và báo cáo các cuộc tấn công DoS như này.

- Tấn công tràn bộ đệm (Buffer Overflow): Tấn công này thường được sử dụng
để chiếm quyền điều khiển hệ thống bằng cách ghi đè vào vùng nhớ đệm của
chương trình. OSSEC có thể giám sát các hoạt động của chương trình và phát
hiện các lỗ hổng bảo mật có thể được tấn công.

12
- Tấn công từ chối dịch vụ phân tán (DDoS): Tấn công DDoS là một dạng tấn
công mạng mà một số máy tính được kiểm soát bởi kẻ tấn công được sử dụng để
tấn công cùng một lúc vào một mục tiêu duy nhất. OSSEC có thể phát hiện và
báo cáo các cuộc tấn công DDoS.

- Tấn công truy cập trái phép (Unauthorized Access): Tấn công này có thể được
thực hiện bằng cách sử dụng các công cụ tấn công từ xa để tìm kiếm và tấn công
vào các lỗ hổng bảo mật của hệ thống. OSSEC có thể phát hiện các hoạt động
trái phép như đăng nhập không hợp lệ hoặc các yêu cầu truy cập từ xa không
được xác thực.

- Tấn công mã độc (Malware): Tấn công này thường bao gồm sử dụng phần
mềm độc hại để tấn công vào hệ thống. OSSEC có thể phát hiện các tập tin độc
hại được tải xuống hoặc các chương trình độc hại được thực thi trên hệ thống.

- Tấn công phá hoại (Sabotage): Tấn công phá hoại có thể được thực hiện bằng
cách xóa hoặc sửa đổi dữ liệu quan trọng trên hệ thống. OSSEC có thể phát hiện
các hoạt động phá hoại bằng cách giám sát các thay đổi dữ liệu trên hệ thống.

b) Ứng dụng của OSSEC

- Phát hiện và báo cáo các cuộc tấn công mạng: OSSEC giúp phát hiện các cuộc
tấn công vào hệ thống và cung cấp thông tin chi tiết về các hoạt động bảo mật
trên hệ thống.

- Theo dõi và giám sát hệ thống bảo mật: OSSEC có thể giám sát và theo dõi các
hoạt động bảo mật trên hệ thống, đảm bảo rằng các chính sách bảo mật được
tuân thủ và hệ thống đang hoạt động một cách an toàn.

- Tối ưu hóa hiệu suất hệ thống: OSSEC có thể giúp tối ưu hóa hiệu suất của hệ
thống bằng cách giảm thiểu các lỗi bảo mật và tăng cường khả năng phát hiện và
xử lý các sự cố bảo mật.

- Quản lý sự kiện bảo mật: OSSEC giúp quản lý các sự kiện bảo mật trên hệ
thống bằng cách lưu trữ, phân tích và đánh giá các sự kiện bảo mật, cung cấp các
thông tin quan trọng cho việc phát hiện và phòng ngừa các cuộc tấn công.

7) Xây dựng 3 kịch bản phát hiện tấn công

a) Kịch bản phát hiện tấn công từ chối dịch vụ (DoS)

13
- Mô tả: Tấn công từ chối dịch vụ (DoS) là hình thức tấn công phổ biến nhất
hiện nay, trong đó kẻ tấn công sử dụng một lượng lớn yêu cầu để làm quá tải hệ
thống mạng, dịch vụ hoặc máy chủ, khiến cho nó không thể phục vụ yêu cầu của
người dùng.

- Cấu hình rule:

+ Rule 5710: giám sát tần suất truy cập đến các cổng của máy chủ, bao gồm các
cổng phổ biến như cổng HTTP, FTP, SSH và Telnet.

+ Rule 5715: giám sát tình trạng kết nối đến máy chủ, bao gồm số kết nối mở
đến mỗi cổng và số lượng yêu cầu đến mỗi kết nối.

- Cách hoạt động: Khi kẻ tấn công cố gắng truy cập quá nhiều lần vào một cổng
hoặc tạo ra quá nhiều kết nối đến máy chủ, OSSEC sẽ bắt đầu gửi cảnh báo đến
quản trị viên hệ thống. Cảnh báo này có thể được gửi qua email hoặc được hiển
thị trên giao diện đồ họa của OSSEC.

b) Kịch bản phát hiện tấn công sử dụng malware

- Mô tả: Tấn công sử dụng malware là hình thức tấn công phổ biến nhất hiện
nay, trong đó kẻ tấn công sử dụng phần mềm độc hại để xâm nhập và kiểm soát
hệ thống mạng của bạn.

- Cấu hình rule:

+ Rule 550: giám sát sự tạo ra, sửa đổi hoặc xóa bỏ các tệp tin trên hệ thống.

+ Rule 551: giám sát sự tạo ra hoặc sửa đổi các quyền truy cập trên các tệp tin
trên hệ thống.

- Cách hoạt động: Khi kẻ tấn công cố gắng tạo ra hoặc sửa đổi một tệp tin trên hệ
thống của bạn, OSSEC sẽ bắt đầu giám sát và gửi cảnh báo đến quản trị viên hệ
thống nếu có sự thay đổi nào trong tệp tin đó. Quản trị viên cũng có thể giám sát
các quyền truy cập trên các tệp tin, bất kỳ quyền truy cập nào được tạo ra hay
sửa đổi cũng sẽ được gửi cảnh báo đến quản trị viên hệ thống.

c) Kịch bản phát hiện tấn công brute-force

14
- Mô tả: Tấn công brute-force là một hình thức tấn công phổ biến, trong đó kẻ
tấn công sử dụng phương pháp thử mật khẩu liên tục để tìm ra mật khẩu đúng và
xâm nhập vào hệ thống của bạn.

- Cấu hình rule:

+ Rule 5712: giám sát tần suất truy cập đến dịch vụ đăng nhập, bao gồm SSH,
Telnet và FTP.

+ Rule 5716: giám sát các yêu cầu đăng nhập và đăng nhập thất bại đến các dịch
vụ đăng nhập trên hệ thống.

- Cách hoạt động: Khi kẻ tấn công thử đăng nhập vào hệ thống của bạn với nhiều
mật khẩu khác nhau, OSSEC sẽ bắt đầu giám sát và gửi cảnh báo đến quản trị
viên hệ thống nếu có quá nhiều yêu cầu đăng nhập thất bại trong một khoảng
thời gian ngắn. Quản trị viên có thể sử dụng thông tin này để đưa ra các biện
pháp phòng ngừa tấn công brute-force như giới hạn số lần đăng nhập thất bại
hoặc sử dụng mật khẩu mạnh hơn.

III. Kết luận

1. Giới thiệu

+ Giới thiệu về hệ thống phát hiện xâm nhập IDS và phân loại của IDS

+ Tổng quan về hệ thống phát hiện xâm nhập OSSEC

2. Nội dung

+ Kiến trúc OSSEC

+ Quy trình hoạt động OSSEC

+ Cài đặt và Cấu hình OSSEC

+ Luật và tạo luật trong OSSEC

+ Giải thuật của OSSEC

+ Các dạng tấn công và ứng dụng

+ Xây dựng 3 kịch bản phát hiện tấn công

15
IV. Các tài liệu tham khảo và sử dụng

- Tài liệu trên trang chủ của OSSEC : https://www.ossec.net/docs/

- Bài viết trên nền tảng viblo.asia :

+ https://viblo.asia/p/tim-hieu-ve-he-thong-phat-hien-xam-nhap-ossec-phan-i-
m68Z03JzKkG

+ https://viblo.asia/p/tim-hieu-ve-he-thong-phat-hien-xam-nhap-ossec-phan-
ii-ByEZkwd2ZQ0#_iii-luat-va-cach-tao-luat-trong-ossec-0

- Bài viết trên news.cloud365.vn :

+ https://news.cloud365.vn/ossec-part-1-tim-hieu-ve-he-thong-phat-hien-xam-
nhap-ossec/

- Chat GPT

16