Está en la página 1de 87

MӨC LӨC

CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP .............................................................. 3Ê


I. NHӲNG MӔI ĐE DӐA VӞI BҦO MҰT ........................................................................................................ 4Ê
1. Mӕi đe dӑa không có cҩu trúc ( Untructured threat) .................................................................................... 4Ê
2. Mӕi đe dӑa có cҩu trúc ( Structured threat) .................................................................................................. 4Ê
3. Mӕi đe dӑa tӯ bên ngoài (External threat) .................................................................................................... 5Ê
4. Mӕi đe dӑa tӯ bên trong ( Internal threat ) ................................................................................................... 5Ê
II.KHÁI NIӊM Vӄ BҦO MҰT .......................................................................................................................... 6Ê
1.Khái NiӋm ................................................................................................................................................... 6Ê
2.KiӃn Trúc VӅ Bҧo Mұt ................................................................................................................................. 6Ê
III.Các phương pháp xâm nhұp hӋ thӕng và phòng chӕng.................................................................................... 7Ê
A.Các phương pháp xâm nhұp hӋ thӕng: ..................................................................................................... 7Ê
B. Các phương pháp phát hiӋn và ngăn ngӯa xâm nhұp: .................................................................................. 9Ê
IV . SӴ CҪN THIӂT CӪA IDS....................................................................................................................... 12Ê
1 . Sӵ giӟi hҥn cӫa các biӋn pháp đӕi phó ...................................................................................................... 12Ê
2. Nhӳng cӕ gҳng trong viӋc hҥn chӃ xâm nhұp trái phép............................................................................... 14Ê
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS .................................................................................. 16Ê
I .Tәng quan vӅ IDS ......................................................................................................................................... 16Ê
A.Giӟi thiӋu vӅ IDS ...................................................................................................................................... 16Ê
B.Lӧi ích cӫa IDS: ........................................................................................................................................ 21Ê
C .Chӭc năng cӫa IDS .................................................................................................................................. 25Ê
D. Phân loҥi:................................................................................................................................................. 27Ê
E. KiӃn trúc cӫa IDS ..................................................................................................................................... 37Ê
II.PHƯƠNG THӬC PHÁT HIӊN..................................................................................................................... 42Ê
1. Misuse ± based system .............................................................................................................................. 42Ê
2. Anomaly ± based system ........................................................................................................................... 45Ê
III.Phân loҥi các dҩu hiӋu ................................................................................................................................. 46Ê
1.Phát hiӋn dҩu hiӋu không bình thưӡng ........................................................................................................ 46Ê
2.Các mүu hành vi thông thưӡng- phát hiӋn bҩt thưӡng ................................................................................. 46Ê
3.Các dҩu hiӋu có hành vi xҩu ± phát hiӋn dҩu hiӋu ....................................................................................... 47Ê
4.Tương quan các mүu tham sӕ ..................................................................................................................... 49Ê
IV.CÁCH PHÁT HIӊN CÁC KIӆU TҨN CÔNG THÔNG DӨNG CӪA IDS .................................................. 49Ê
1. Denial of Service attack (Tҩn công tӯ chӕi dӏch vө) ................................................................................... 49Ê
2. Scanning và Probe (Quét và thăm dò) ........................................................................................................ 50Ê
3. Password attack (Tҩn công vào mұt mã) .................................................................................................... 51Ê
4. Privilege-grabbing (ChiӃm đһc quyӅn) ...................................................................................................... 52Ê
5. Hostile code insertion (Cài đһt mã nguy hiӇm)........................................................................................... 53Ê
6. Cyber vandalism (Hành đӝng phá hoҥi trên máy móc) ............................................................................... 54Ê
7. Proprietary data theft (Ăn trӝm dӳ liӋu quan trӑng).................................................................................... 55Ê
8. Fraud, waste, abuse (Gian lұn, lãng phí và lҥm dөng)................................................................................. 55Ê
9. Audit trail tampering (Can thiӋp vào biên bҧn) .......................................................................................... 56Ê
10. Security infrastructure attack (Tҩn công hҥ tҫng bҧo mұt) ........................................................................ 56Ê
CHƯƠNG III : ӬNG DӨNG ................................................................................................................................ 58Ê
I.Giӟi thiӋu vӅ Snort IDS .................................................................................................................................. 58Ê
1.Giӟi thiӋu .................................................................................................................................................. 58Ê
2.Các thành phҫn cӫa Snort: .......................................................................................................................... 59Ê
3.Tұp luұt (rulesets) trong Snort : .................................................................................................................. 62Ê
II.Thӵc hiӋn: .................................................................................................................................................... 72Ê
1.Mô hình: .................................................................................................................................................... 72Ê
2.Thӵc hiӋn: ................................................................................................................................................. 72Ê
›  l tham khҧo ............................................................................................................................................. 87Ê

2
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 3

CHƯƠNG 1: ›NG QUAN Vӄ Hӊ ›HӔNG PHÁ› HIӊN XÂM


NHҰP
HiӋn nay mҥng Internet đã trӣ thành mӝt phҫn không thӇ thiӃu cӫa con ngưӡi. ViӋc hӑc
tұp, vui chơi giҧi trí, kinh doanh, liên lҥc trao đәi thông tin trên mҥng đã trӣ thành nhӳng
hành đӝng thưӡng ngày cӫa mӑi ngưӡi.Khҧ năng kӃt nӕi trên toàn thӃ giӟi đang mang lҥi
thuұn tiӋn cho tҩt cҧ mӑi ngưӡi, nhưng nó cũng tiӅm ҭn nhӳng nguy cơ khó lưӡng đe dӑa
tӟi mӑi mһt cӫa đӡi sӕng xã hӝi. ViӋc mҩt trӝm thông tin trên mҥng gây ҧnh hưӣng đӃn
tính riêng tư cho các cá nhân, nhӳng vө lӯa đҧo, tҩn công tӯ chӕi dӏch vө gây ҧnh hưӣng
lӟn đӃn hoҥt đӝng kinh doanh cho các công ty và gây phiӅn toái cho ngưӡi sӱ dөng
Internet« làm cho vҩn đӅ bҧo mұt trên mҥng luôn là mӝt vҩn đӅ nóng và đưӧc quan tâm
đӃn trong mӑi thӡi điӇm.
Cho đӃn nay, các giҧi pháp bҧo mұt luôn đưӧc chú trӑng và đã có nhӳng đóng góp lӟn
trong viӋc hҥn chӃ và ngăn chһn nhӳng vҩn đӅ vӅ bҧo mұt, ví dө như Firewall ngăn chһn
nhӳng kӃt nӕi không đáng tin cұy, mã hóa làm tăng đӝ an toàn cho viӋc truyӅn dӳ liӋu,
các chương trình diӋt virus vӟi cơ sӣ dӳ liӋu liên tөc cұp nhұt vӅ nhӳng loҥi virus mӟi
nhҩt. Tuy nhiên hiӋn nay các vө vi phҥm bҧo mұt xҧy ra ngày càng tinh vi hơn cùng vӟi
sӵ gia tăng nhӳng vө lҥm dөng, dùng sai xuҩt phát tӯ trong hӋ thӕng mà nhӳng phương
pháp bҧo mұt truyӅn thӕng không chӕng đưӧc. Nhӳng điӅu đó dүn đӃn yêu cҫu phҧi có
mӝt phương pháp bҧo mұt mӟi bә trӧ cho nhӳng phương pháp bҧo mұt truyӅn thӕng.
HӋ thӕng phát hiӋn xâm nhұp trái phép IDS là mӝt phương pháp bҧo mұt có khҧ năng
chӕng lҥi các kiӇu tҩn công mӟi, các vө lҥm dөng, dùng sai xuҩt phát tӯ trong hӋ thӕng và
có thӇ hoҥt đӝng tӕt vӟi các phương pháp bҧo mұt truyӅn thӕng. Nó đã đưӧc nghiên cӭu,
phát triӇn và ӭng dөng tӯ lâu trên thӃ giӟi và đã thӇ hiӋn vai trò quan trӑng trong các
chính sách bҧo mұt.Tuy nhiên ӣ ViӋt Nam hiӋn nay hӋ thӕng phát hiӋn xâm nhұp trái
phép vүn mӟi đang đưӧc nghiên cӭu, vүn chưa đưӧc ӭng dөng vào trong thӵc tӃ. Nguyên
nhân cӫa viӋc này có thӇ do các hӋ thӕng IDS hiӋn nay quá phӭc tҥp, tӕn thӡi gian đào
tҥo đӇ sӱ dөng, cũng có thӇ do nó là nhӳng hӋ thӕng lӟn, yêu cҫu nhiӅu trang thiӃt bӏ,
nhiӅu công sӭc đӇ quҧn lý bҧo dưӥng, không phù hӧp vӟi điӅu kiӋn cӫa các hӋ thӕng ӣ
ViӋt Nam hiӋn nay.

I.NHӲNG MӔI ĐE DӐA VӞI BҦO MҰ›


1. Mӕ đe dӑa không có cҩ trúc ( Untrctred threat)
Công cө hack và script có rҩt nhiӅu trên Internet, vì thӃ bҩt cӭ ai tò mò có thӇ tҧi chúng
vӅ và sӱ dөng thӱ trên mҥng nӝi bӝ và các mҥng ӣ xa. Cũng có nhӳng ngưӡi thích thú vӟi
viӋc xâm nhұp vào máy tính và các hành đӝng vưӧt khӓi tҫm bҧo vӋ.Hҫu hӃt tҩn công
không có cҩu trúc đӅu đưӧc gây ra bӣi Script Kiddies (nhӳng kҿ tҩn công chӍ sӱ dөng các
công cө đưӧc cung cҩp, không có hoһc có ít khҧ năng lұp trình) hay nhӳng ngưӡi có trình
đӝ vӯa phҧi.Hҫu hӃt các cuӝc tҩn công đó vì sӣ thích cá nhân, nhưng cũng có nhiӅu cuӝc
tҩn công có ý đӗ xҩu.Nhӳng trưӡng hӧp đó có ҧnh hưӣng xҩu đӃn hӋ thӕng và hình ҧnh
cӫa công ty.
Mһc dù tính chuyên môn cӫa các cuӝc tҩn công dҥng này không cao nhưng nó vүn có thӇ
phá hoҥi hoҥt đӝng cӫa công ty và là mӝt mӕi nguy hҥi lӟn.Đôi khi chӍ cҫn chҥy mӝt
đoҥn mã là có thӇ phá hӫy chӭc năng mҥng cӫa công ty. Mӝt Script Kiddies có thӇ không
nhұn ra và sӱ dөng đoҥn mã tҩn công vào tҩt cҧ các host cӫa hӋ thӕng vӟi mөc đích truy
nhұp vào mҥng, nhưng kҿ tҩn công đã tình cӡ gây hӓng hóc cho vùng rӝng cӫa hӋ thӕng.
Hay trưӡng hӧp khác, chӍ vì ai đó có ý đӏnh thӱ nghiӋm khҧ năng, cho dù không có mөc
đích xҩu nhưng đã gây hҥi nghiêm trӑng cho hӋ thӕng.

2. Mӕ đe dӑa có cҩ trúc ( Strctred threat)


Structured threat là các hành đӝng cӕ ý, có đӝng cơ và kӻ thuұt cao.Không như Script
Kiddes, nhӳng kҿ tҩn công này có đӫ kӻ năng đӇ hiӇu các công cө, có thӇ chӍnh sӱa các
công cө hiӋn tҥi cũng như tҥo ra các công cө mӟi. Nhӳng kҿ tҩn công này hoҥt đӝng đӝc
lұp hoһc theo nhóm, hӑ hiӇu, phát triӇn và sӱ dөng các kӻ thuұt hack phӭc tҥp nhҵm xâm
nhұp vào mөc tiêu.
Đӝng cơ cӫa các cuӝc tҩn công này thì có rҩt nhiӅu.Mӝt sӕ yӃu tӕ thưӡng thҩy có thӇ vì
tiӅn, hoҥt đӝng chính trӏ, tӭc giұn hay báo thù. Các tә chӭc tӝi phҥm, các đӕi thӫ cҥnh
tranh hay các tә chӭc sҳc tӝc có thӇ thuê các chuyên gia đӇ thӵc hiӋn các cuӝc tҩn công
dҥng structured threat. Các cuӝc tҩn công này thưӡng có mөc đích tӯ trưӟc, như đӇ lҩy
ï
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 5

đưӧc mã nguӗn cӫa đӕi thӫ cҥnh tranh.Cho dù đӝng cơ là gì, thì các cuӝc tҩn công như
vұy có thӇ gây hұu quҧ nghiêm trӑng cho hӋ thӕng. Mӝt cuӝc tҩn công structured thành
công có thӇ gây nên sӵ phá hӫy cho toàn hӋ thӕng.

. Mӕ đe dӑa tӯ bên ngo  (External threat)


External threat là các cuӝc tҩn công đưӧc tҥo ra khi không có mӝt quyӅn nào trong hӋ
thӕng.Ngưӡi dùng trên toàn thӃ giӟi thông qua Internet đӅu có thӇ thӵc hiӋn các cuӝc tҩn
công như vұy.
Các hӋ thӕng bҧo vӋ vành đai là tuyӃn bҧo vӋ đҫu tiên chӕng lҥi external threat. Bҵng
cách gia tăng hӋ thӕng bҧo vӋ vành đai, ta có thӇ giҧm tác đӝng cӫa kiӇu tҩn công này
xuӕng tӕi thiӇu. Mӕi đe dӑa tӯ bên ngoài là mӕi đe dӑa mà các công ty thưӡng phҧi bӓ
nhiӅu tiӅn và thӡi gian đӇ ngăn ngӯa.

ï. Mӕ đe dӑa tӯ bên trong ( Internal threat )


Thuұt ngӳ ³Mӕi đe dӑa tӯ bên trong´ đưӧc sӱ dөng đӇ mô tҧ mӝt kiӇu tҩn công đưӧc
thӵc hiӋn tӯ mӝt ngưӡi hoһc mӝt tә chӭc có mӝt vài quyӅn truy cұp mҥng cӫa bҥn.Các
cách tҩn công tӯ bên trong đưӧc thӵc hiӋn tӯ mӝt khu vӵc đưӧc tin cұy trong mҥng.Mӕi
đe dӑa này có thӇ khó phòng chӕng hơn vì các nhân viên có thӇ truy cұp mҥng và dӳ liӋu
bí mұt cӫa công ty.Hҫu hӃt các công ty chӍ có các tưӡng lӱa ӣ đưӡng biên cӫa mҥng, và
hӑ tin tưӣng hoàn toàn vào các ACL (Access Control Lists) và quyӅn truy cұp server đӇ
quy đӏnh cho sӵ bҧo mұt bên trong.QuyӅn truy cұp server thưӡng bҧo vӋ tài nguyên trên
server nhưng không cung cҩp bҩt kì sӵ bҧo vӋ nào cho mҥng.Mӕi đe dӑa ӣ bên trong
thưӡng đưӧc thӵc hiӋn bӣi các nhân viên bҩt bình, muӕn ³quay mһt´ lҥi vӟi công ty.
NhiӅu phương pháp bҧo mұt liên quan đӃn vành đai cӫa mҥng, bҧo vӋ mҥng bên trong
khӓi các kӃt nӕi bên ngoài, như là Internet. Khi vành đai cӫa mҥng đưӧc bҧo mұt, các
phҫn tin cұy bên trong có khuynh hưӟng bӏ bӟt nghiêm ngһt hơn. Khi mӝt kҿ xâm nhұp
vưӧt qua vӓ bӑc bҧo mұt cӭng cáp đó cӫa mҥng, mӑi chuyӋn còn lҥi thưӡng là rҩt đơn
giҧn.

ý
Đôi khi các cuӝc tҩn công dҥng structured vào hӋ thӕng đưӧc thӵc hiӋn vӟi sӵ giúp đӥ
cӫa ngưӡi bên trong hӋ thӕng. Trong trưӡng hӧp đó, kҿ tҩn công trӣ thành structured
internal threat, kҿ tҩn công có thӇ gây hҥi nghiên trӑng cho hӋ thӕng và ăn trӝm tài
nguyên quan trӑng cӫa công ty. Structured internel threat là kiӇu tҩn công nguy hiӇm nhҩt
cho mӑi hӋ thӕng.

II.KHÁI NIӊM Vӄ BҦO MҰT


1.Ê há Nm
ĐӇ bҧo vӋ hӋ thӕng cũng như đӅ ra các chính sách bҧo mұt ta cҫn hiӇu sâu các khái
niӋm vӅ bҧo mұt. Khi hiӇu sâu các khái niӋm vӅ bҧo mұt, phân tích chính xác các cuӝc
tҩn công, phân tích các điӇm yӃu cӫa hӋ thӕng và tăng cưӡng bҧo mұt nhӳng vùng cҫn
thiӃt có thӇ làm giҧm thiӋt hҥi gây nên tӯ các cuӝc tҩn công vào hӋ thӕng.
2.Ê n ›rúc VӅ Bҧo Mұt
Sau đây là khía cҥnh quan trӑng cӫa bҧo mұt mà ta cҫn phҧi quan tâm đӃn nhҵm gia
tăng đӝ an toàn cho hӋ thӕng:
ÍÊ Xác thӵc (Authentication): chӍ các tiӃn trình xӱ lý nhҵm xác đӏnh nhұn dҥng cӫa thӵc
thӇ liên kӃt. Thӵc thӇ đó có thӇ là ngưӡi dùng đӝc lұp hay tiӃn trình cӫa phҫn mӅm.
ÍÊ Ӫy quyӅn (Authorization): chӍ các luұt xác đӏnh ai có quyӅn truy nhұp vào các tài
nguyên cӫa hӋ thӕng.
ÍÊ Tính cҭn mұt (Confidentiality): nhҵm đҧm bҧo dӳ liӋu đưӧc bҧo vӋ khӓi nhӳng nhóm
không đưӧc phép truy nhұp. Tính cҭn mұt yêu cҫu dӳ liӋu trên máy và dӳ liӋu truyӅn
trên mҥng chӍ có thӇ đưӧc đӑc bӣi nhӳng nhóm đưӧc phép.
ÍÊ Tính toàn vҽn (Integrity): hӋ thӕng đҧm bҧo tính toàn vҽn cӫa dӳ liӋu nӃu nó ngăn sӵ
thay đәi dӳ liӋu trái phép. Sӵ thay đәi bao gӗm tҥo, ghi, sӱa đәi, xóa và xem lҥi thông
điӋp đã đưӧc truyӅn.
ÍÊ Tính sҹn sàng (Availability): yêu cҫu tài sҧn hӋ máy tính là sҹn sàng đӕi vӟi nhóm
đưӧc phép. Mөc tiêu cӫa kiӇu tҩn công tӯ chӕi dӏch vө DoS là phá hoҥi tính sҹn sàng
cӫa tài nguyên hӋ thӕng, bao gӗm tҥm thӡi và lâu dài.

•
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 7

III.Các phương pháp xâm nhұp h thӕng v phòng chӕng


A.Các phương pháp xâm nhұp h thӕng:
m 
 


Đây là mӝt chương trình ӭng dөng bҳt giӳ đưӧc tҩt cҧ các các gói lưu chuyӇn trên mҥng
(trên mӝt collision domain).Sniffer thưӡng đưӧc dùng cho troubleshooting network hoһc
đӇ phân tích traffic. Tuy nhiên, do mӝt sӕ ӭng dөng gӣi dӳ liӋu qua mҥng dưӟi dҥng clear
text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là mӝt công cө cho hacker đӇ bҳt các
thông tin nhҥy cҧm như là username, password, và tӯ đó có thӇ truy xuҩt vào các thành
phҫn khác cӫa mҥng.

2. Phng thc tn công mt khu Password attack


Các hacker tҩn công password bҵng mӝt sӕ phương pháp như: brute-force attack, chương
trình Trojan Horse, IP spoofing, và packet sniffer. Mһc dù dùng packet sniffer và IP
spoofing có thӇ lҩy đưӧc user account và password, như hacker lҥi thưӡng sӱ dөng brute-
force đӇ lҩy user account hơn.
Tҩn công brute-force đưӧc thӵc hiӋn bҵng cách dùng mӝt chương trình chҥy trên mҥng,
cӕ gҳng login vào các phҫn share trên server băng phương pháp ³thӱ và sai´ passwork.

3.Phng thc tn công bng Mail Relay


Đây là phương pháp phә biӃn hiӋn nay. Email server nӃu cҩu hình không chuҭn hoһc
Username/ password cӫa user sӱ dөng mail bӏ lӝ. Hacker có thӇ lӧi dөng email server đӇ
gӱi mail gây ngұp mҥng , phá hoҥi hӋ thӕng email khác. Ngoài ra vӟi hình thӭc gҳn thêm
các đoҥn script trong mail hacker có thӇ gây ra các cuӝc tҩn công Spam cùng lúc vӟi khҧ
năng tҩn công gián tiӃp đӃn các máy chӫ Database nӝi bӝ hoһc các cuӝc tҩn công D.o.S
vào mӝt mөc tiêu nào đó.

4.Phng thc tn công h thng DNS


DNS Server là điӇm yӃu nhҩt trong toàn bӝ các loҥi máy chӫ ӭng dөng và cũng là hӋ
thӕng quan trӑng nhҩt trong hӋ thӕng máy chӫ.

Ô
ViӋc tҩn công và chiӃm quyӅn điӅu khiӇn máy chӫ phөc vө DNS là mӝt sӵ phá hoҥi nguy
hiӇm liên quan đӃn toàn bӝ hoҥt đӝng cӫa hӋ thӕng truyӅn thông trên mҥng.
-Ê Hҥn chӃ tӕi đa các dӏch vө khác trên hӋ thӕng máy chӫ DNS
-Ê Cài đһt hӋ thӕng IDS Host cho hӋ thӕng DNS
-Ê Luôn cұp nhұt phiên bҧn mӟi có sӱa lӛi cӫa hӋ thӕng phҫn mӅm DNS.


ý.Phng thc tn công Man-in-the-middle attack


Dҥng tҩn công này đòi hӓi hacker phҧi truy nhұp đưӧc các gói mҥng cӫa mҥng. Mӝt ví dө
vӅ tҩn công này là mӝt ngưӡi làm viӋc tҥi ISP, có thӇ bҳt đưӧc tҩc cҧ các gói mҥng cӫa
công ty khách hàng cũng như tҩt cҧ các gói mҥng cӫa các công ty khác thuê Leased line
đӃn ISP đó đӇ ăn cҳp thông tin hoһc tiӃp tөc session truy nhұp vào mҥng riên cӫa công ty
khách hàng. Tҩn công dҥng này đưӧc thӵc hiӋn nhӡ mӝt packet sniffer.

•.Phng thc tn công đ thăm dò mng


Thăm dò mҥng là tҩt cҧ các hoҥt đӝng nhҵm mөc đích lҩy các thông tin vӅ mҥng. khi mӝt
hacker cӕ gҳng chӑc thӫng mӝt mҥng, thưӡng thì hӑ phҧi thu thұp đưӧc thông tin vӅ
mҥng càng nhiӅu càng tӕt trưӟc khi tҩn công. ĐiӅu này có thӇ thӵc hiӋn bӣi các công cө
như DNS queries, ping sweep, hay port scan.

7.Phng thc tn công Trust exploitation


Loҥi tҩn công kiӇu này đưӧc thӵc hiӋn bҵng cách tұn dөng mӕi quan hӋ tin cұy đӕi vӟi
mҥng.Mӝt ví dө cho tҩn công kiӇu này là bên ngoài firewall có mӝt quan hӋ tin cұy vӟi
hӋ thӕng bên trong firewall. Khi bên ngoài hӋ thӕng bӏ xâm hҥi, các hacker có thӇ lҫn
theo quan hӋ đó đӇ tҩn công vào bên trong firewall.

8.Phng thc tn công Port redirection


Tҩn công này là mӝt loҥi cӫa tҩn công trust exploitation, lӧi dөng mӝt host đã đã bӏ đӝt
nhұp đi qua firewall. Ví dө, mӝt firewall có 3 inerface, mӝt host ӣ outside có thӇ truy
nhұp đưӧc mӝt host trên DMZ, nhưng không thӇ vào đưӧc host ӣ inside.Host ӣ DMZ có
thӇ vào đưӧc host ӣ inside, cũng như outside. NӃu hacker chӑc thӫng đưӧc host trên

`
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 9

DMZ, hӑ có thӇ cài phҫn mӅm trêm host cӫa DMZ đӇ bҿ hưӟng traffic tӯ host outside
đӃn host inside.

æ.Phng thc tn công lp ng dng


Tҩn công lӟp ӭng dөng đưӧc thӵc hiӋn bҵng nhiӅu cách khác nhau. Mӝt trong nhӳng
cách thông dөng nhҩt là tҩn công vào các điӇm yӃu cӫa phân mӅm như sendmail, HTTP,
hay FTP.
Nguyên nhân chӫ yӃu cӫa các tҩn công lӟp ӭng dөng này là chúng sӱ dөng nhӳng port
cho qua bӣi firewall.Ví dө các hacker tҩn công Web server bҵng cách sӱ dөng TCP port
80, mail server bҵng TCP port 25.



m .Phng thc tn Virus và Trojan Horse


Các nguy hiӇm chính cho các workstation và end user là các tҩn công virus và ngӵa thành
Trojan (Trojan horse).Virus là mӝt phҫn mӅm có hҥi, đưӧc đính kèm vào mӝt chương
trình thӵc thi khác đӇ thӵc hiӋn mӝt chӭc năng phá hҥi nào đó.Trojan horse thì hoҥt đӝng
khác hơn. Mӝt ví dө vӅ Trojan horse là mӝt phҫn mӅm ӭng dөng đӇ chҥy mӝt game đơn
giҧn ӣ máy workstation. Trong khi ngưӡi dùng đang mãi mê chơi game, Trojan horse sӁ
gӣi mӝt bҧn copy đӃn tҩt cҧ các user trong address book.Khi user khác nhұn và chơi trò
chơi, thì nó lҥi tiӃp tөc làm như vұy, gӣi đӃn tҩt cҧ các đӏa chӍ mail có trong address book
cӫa user đó.

B. Các phương pháp phát hn v ngăn ngӯa xâm nhұp:

m.Phng thc ăn cp thng tin bng Packet Sniffers


Khҧ năng thӵc hiӋn Packet Sniffers có thӇ xҧy ra tӯ trong các Segment cӫa mҥng nӝi bӝ,
các kӃt nӕi RAS hoһc phát sinh trong WAN.
Ta có thӇ cҩm packet sniffer bҵng mӝt sӕ cách như sau:
ÍÊ Authentication

æ
Kӻ thuұt xác thӵc này đưӧc thӵc hiӋn phә biӃn như one-type password (OTPs).
Kӻ thuұt này đưӧc thӵc hiӋn bao gôm hai yӃu tӕ: personal identification number (
PIN ) và token card đӇ xác thӵc mӝt thiӃt bӏ hoһc mӝt phҫn mӅm ӭng dөng.

Token card là thiӃt bӏ phҫn cӭng hoһc phҫn mӅm sҧn sinh ra thông tin mӝt cách
ngүu nhiên ( password ) tai mӝt thӡi điӇm, thưӡng là 60 giây.

Khách hàng sӁ kӃt nӕi password đó vӟi mӝt PIN đӇ tҥo ra mӝt password duy nhҩt.
Giҧ sӱ mӝt hacker hӑc đưӧc password đó bҵng kӻ thuұt packet sniffers, thông tin
đó cũng không có giá trӏ vì nó đã hӃt hҥn.

ÍÊ Dùng switch thay vì Bridge hay hub: hҥn chӃ đưӧc các gói broadcast trong mҥng.
Kӻ thuұt này có thӇ dùng đӇ ngăn chһn packet sniffers trong môi trưӡng mҥng.Vd:
nӃu toàn bӝ hӋ thӕng sӱ dөng switch ethernet, hacker chӍ có thӇ xâm nhұp vào
luӗng traffic đang lưu thông tҥi 1 host mà hacker kӃt nӕi đӃn. Kӻ thuұt này không
làm ngăn chһn hoàn toàn packet sniffer nhưng nó có thӇ giҧm đưӧc tҫm ҧnh hưӣng
cӫa nó.

ÍÊ Các công cө Anti-sniffer: công cө này phát hiӋn sӵ có mһt cӫa packet siffer trên
mҥng.
ÍÊ Mã hóa: Tҩt cҧ các thông tin lưu chuyӇn trên mҥng đӅu đưӧc mã hóa. Khi đó, nӃu
hacker dùng packet sniffer thì chӍ bҳt đưӧc các gói dӳ liӋu đã đưӧc mã hóa. Cisco
dùng giao thӭc IPSec đӇ mã hoá dӳ liӋu.

2. Phng thc tn công mt khu Password attack


Phương pháp giҧm thiӇu tҩn công password:
ÍÊ Giӟi han sӕ lҫn login sai
ÍÊ Đһt password dài
ÍÊ Cҩm truy cұp vào các thiӃt bӏ, serever tӯ xa thông qua các giao thӭc không an toàn
như FTP, Telnet, rlogin, rtelnet« ӭng dung SSL,SSH vào quҧn lý tӯ xa

3.Phng thc tn công bng Mail Relay


Phương pháp giҧm thiӇu :
ÍÊ Giӟi hҥn dung lương Mail box

10
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 11

ÍÊ Sӱ dөng các phương thӭc chӕng Relay Spam bҵng các công cө bҧo mұt cho
SMTP server, đһt password cho SMTP.
ÍÊ Sӱ dөng gateway SMTP riêng

4.Phng thc tn công h thng DNS


Phương pháp hҥn chӃ:
ÍÊ Hҥn chӃ tӕi đa các dӏch vө khác trên hӋ thӕng máy chӫ DNS
ÍÊ Cài đһt hӋ thӕng IDS Host cho hӋ thӕng DNS
ÍÊ Luôn cұp nhұt phiên bҧn mӟi có sӱa lӛi cӫa hӋ thӕng phҫn mӅm DNS.

ý.Phng thc tn công Man-in-the-middle attack


Tҩn công dҥng này có thӇ hҥn chӃ bҵng cách mã hoá dӳ liӋu đưӧc gӣi ra.NӃu các hacker
có bҳt đưӧc các gói dӳ liӋu thì là các dӳ liӋu đã đưӧc mã hóa.

•.Phng thc tn công đ thăm dò mng


Ta không thӇ ngăn chһn đưӧc hoàn toàn các hoҥt đӝ thăm dò kiӇu như vұy. Ví dө ta có
thӇ tҳt đi ICMP echo và echo-reply, khi đó có thӇ chăn đưӧc ping sweep, nhưng lҥi khó
cho ta khi mҥng có sӵ cӕ, cҫn phҧi chҭn đoan lӛi do đâu.
NIDS và HIDS giúp nhҳc nhӣ (notify) khi có các hoҥt đӝng thăm dò xҧy ra trong mҥng.



7.Phng thc tn công Trust exploitation


Có thӇ giӟi hҥn các tҩn công kiӇu này bҵng cách tҥo ra các mӭc truy xuҩt khác nhau vào
mҥng và quy đӏnh chһt chӁ mӭc truy xuҩt nào sӁ đưӧc truy xuҩt vào các tài nguyên nào
cӫa mҥng.

8.Phng thc tn công Port redirection


Ta ngăn chһn tҩn công loҥi này bҵng cách sӱ dөng HIDS cài trên mӛi server. HIDS có
thӇ giúp phát hiӋn đưӧc các chưӡng trình lҥ hoҥt đӝng trên server đó.

æ.Phng thc tn công lp ng dng


Mӝt sӕ phương cách đӇ hҥn chӃ tҩn công lӟp ӭng dөng:
ÍÊ Lưu lҥi log file, và thưӡng xuên phân tích log file

11
ÍÊ Luôn cұp nhұt các patch cho OS và các ӭng dөng
ÍÊ Dùng IDS, có 2 loҥi IDS:
²Ê HIDS: cài đһt trên mӛi server mӝt agent cӫa HIDS đӇ phát hiӋn các tҩn
công lên server đó.
²Ê NISD: xem xét tҩt cҧ các packet trên mҥng (collision domain). Khi nó thҩy
có mӝt packet hay mӝt chuӛi packet giӕng như bӏ tҩn công, nó có thӇ phát
cҧnh báo, hay cҳt session đó.
Các IDS phát hiӋn các tҩn công bҵng cách dùng các signature. Signature cӫa mӝt tҩn
công là mӝt profile vӅ loҥi tҩn công đó. Khi IDS phát hiӋn thҩy traffic giӕng như mӝt
signature nào đó, nó sӁ phát cҧnh báo.

m .Phng thc tn Virus và Trojan Horse


Có thӇ dùng các phҫn mӅm chӕng virus đӇ diӋt các virus và Trojan horse và luôn luôn
cұp nhұt chương trình chӕng virus mӟi.

IV .SӴ CҪN ›HIӂ› CӪA IDS

1 .Sӵ g hҥn cӫa các bn pháp đӕ phó


HiӋn nay có nhiӅu công cө nhҵm gia tăng tính bҧo mұt cho hӋ thӕng. Các công cө đó
vүn đang hoҥt đӝng có hiӋu quҧ, tuy nhiên chúng đӅu có nhӳng hҥn chӃ riêng làm hӋ
thӕng vүn có nguy cơ bӏ tҩn công cao.

w
Firewall là mӝt công cө hoҥt đӝng ӣ ranh giӟi giӳa bên trong hӋ thӕng và Internet bên
ngoài (không đáng tin cұy) và cung cҩp cơ chӃ phòng thӫ tӯ vành đai. Nó hҥn chӃ viӋc
truyӅn thông cӫa hӋ thӕng vӟi nhӳng kҿ xâm nhұp tiӅm tàng và làm giҧm rӫi ro cho hӋ

12
CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 13

thӕng.Đây là mӝt công cө không thӇ thiӃu trong mӝt giҧi pháp bҧo mұt tәng thӇ. Tuy
nhiên Firewall cũng có nhӳng điӇm yӃu sau:
ÍÊ Firewall không quҧn lý các hoҥt đӝng cӫa ngưӡi dùng khi đã vào đưӧc hӋ thӕng, và
không thӇ chӕng lҥi sӵ đe dӑa tӯ trong hӋ thӕng.
ÍÊ Firewall cҫn phҧi đҧm bҧo mӝt mӭc đӝ truy cұp nào đó tӟi hӋ thӕng, viӋc này có thӇ
cho phép viӋc thăm dò điӇm yӃu.
ÍÊ Chính sách cӫa Firewall có thӇ chұm trӉ so vӟi sӵ thay đәi cӫa môi trưӡng, điӅu này
cũng có thӇ tҥo nên cơ hӝi cho viӋc xâm nhұp và tҩn công.
ÍÊ Hacker có thӇ sӱ dөng phương thӭc tác đӝng đӃn yӃu tӕ con ngưӡi đӇ đưӧc truy nhұp
mӝt cách tin cұy và loҥi bӓ đưӧc cơ chӃ firewall.
ÍÊ Firewall không ngăn đưӧc viӋc sӱ dөng các modem không đưӧc xác thӵc hoһc không
an toàn gia nhұp hoһc rӡi khӓi hӋ thӕng.
ÍÊ Firewall không hoҥt đӝng ӣ tӕc đӝ có lӧi cho viӋc triӇn khai Intranet.
ViӋc sӱ dөng cơ chӃ mã hóa và VPN cung cҩp khҧ năng bҧo mұt cho viӋc truyӅn
thông đҫu cuӕi các dӳ liӋu quan trӑng.Nhóm mã hóa vӟi viӋc xác thӵc khóa công khai và
khóa mұt cung cҩp cho ngưӡi dùng, ngưӡi gӱi và ngưӡi nhұn sӵ tӯ chӕi, sӵ tin cұy và
toàn vҽn dӳ liӋu.

c  !"
 
#$%$&'
()

Tuy nhiên, các dӳ liӋu có mã hóa chӍ an toàn vӟi nhӳng ngưӡi không đưӧc xác thӵc.
ViӋc truyӅn thông sӁ trӣ nên mӣ, không đưӧc bҧo vӋ và quҧn lý, kӇ cҧ nhӳng hành đӝng
cӫa ngưӡi dùng.PKI có vai trò như khung làm viӋc chung cho viӋc quҧn lý và xӱ lý các
dҩu hiӋu sӕ vӟi mã hóa công khai đӇ bҧo đҧm an toàn cho dӳ liӋu. Nó cũng tӵ đӝng xӱ lý
đӇ xác nhұn và chӭng thӵc ngưӡi dùng hay ӭng dөng. PKI cho phép ӭng dөng ngăn cҧn
các hành đӝng có hҥi, tuy nhiên hiӋn tҥi viӋc triӇn khai sӱ dөng chӍ mӟi bҳt đҫu (chӍ có
các dӵ án thí điӇm và mӝt sӕ dӵ án có quy mô lӟn áp dөng) vì nhӳng lý do sau:
ÍÊ Chuҭn PKI vүn đang phát triӇn vӟi viӋc hoҥt đӝng chung cӫa các hӋ thӕng chӭng
chӍ không đӗng nhҩt.
ÍÊ Có quá ít ӭng dөng có sӱ dөng chӭng chӍ.
Các phương thӭc trên cung cҩp khҧ năng bҧo vӋ cho các thông tin, tuy nhiên chúng
không phát hiӋn đưӧc cuӝc tҩn công đang tiӃn hành.Phát hiӋn xâm nhұp trái phép đưӧc
đӏnh nghĩa là ³mӝt ӭng dөng hay tiӃn trình dùng đӇ quҧn lý môi trưӡng cho mөc đích xác
đӏnh hành đӝng có dҩu hiӋu lҥm dөng, dùng sai hay có ý đӗ xҩu´.

2. Nhӳng cӕ gҳng trong vc hҥn ch xâm nhұp trá phép
Trong nhӳng năm 80, khi nӅn thương nghiӋp và truyӅn thông dӵa trên mҥng quy mô
lӟn vүn còn trong thӡi kǤ đҫu, mӝt câu hӓi đã đưӧc đһt ra: q &
*%+
,
-.!/0&$%!1$2
34
56 Ta nhұn thҩy
cách tӕt nhҩt đӇ phát hiӋn xâm nhұp trái phép là tҥo ra log hay biên bҧn kiӇm tra (audit
trail) vӟi mӑi hành đӝng có liên quan đӃn bҧo mұt. Ngày nay, hҫu hӃt các hӋ điӅu hành,
ӭng dөng và thiӃt bӏ mҥng đӅu tҥo ra mӝt sӕ dҥng biên bҧn kiӇm tra.Tư tưӣng cơ bҧn là
nhà quҧn trӏ có thӇ xem lҥi chúng đӇ tìm nhӳng sӵ kiӋn đáng nghi.Trong khi đó trong
thӵc tӃ, quá trình xӱ lý thӫ công đó không thӇ ӭng dөng đưӧc vӟi quy mô lӟn, sӭc ngưӡi
có hҥn không thӇ kiӇm tra lҥi đưӧc tҩt cҧ các log đӇ tìm điӇm nghi vҩn.Ví dө như vào
năm 1984, hӋ thӕng Clyde Digital phát triӇn mӝt sҧn phҭm là AUDIT, có nhiӋm vө tӵ
đӝng tìm trong audit trai OpenVMS đӇ tìm sӵ kiӋn nghi vҩn. Vào năm 1987, mӝt dӵ án
đưӧc tài trӧ bӣi chính phӫ Mӻ tên là IDES tҥi Stanford Research Institute thӵc hiӋn đӑc
audit trail và tҥo ra khuôn mүu nhӳng hành đӝng thông thưӡng, sau đó gӱi thông báo vӅ

CHƯƠNG 1: TӘNG QUAN Vӄ Hӊ THӔNG PHÁT HIӊN XÂM NHҰP 15

nhӳng hành đӝng lӋch so vӟi khuôn mүu đó. Trong suӕt nhӳng năm đҫu cӫa thұp kӹ 90,
cӕ gҳng phát hiӋn xâm nhұp trái phép tұp trung vào viӋc phân tích các sӵ kiӋn có trong
audit trail.
Tuy nhiên, hҫu hӃt các công ty không thӇ sӱ dөng đưӧc phương pháp phân tích log
này vì hai lý do chính. Thӭ nhҩt là công cө đó khá nһng, phө thuӝc vào khҧ năng hiӇu
loҥi tҩn công và điӇm yӃu cӫa ngưӡi dùng. Vӟi sӵ tăng trưӣng cӫa sӕ ngưӡi dùng, hӋ điӅu
hành, ӭng dөng, cơ sӣ dӳ liӋu cũng tăng theo vӟi kích cӥ cӫa file audit trail làm chúng
tӕn bӝ nhӟ và dүn đӃn lӛi tӯ chӕi dӏch vө. Do đó, các tә chӭc nhұn ra rҵng thao tác viên
cӫa hӑ thưӡng xóa hay vô hiӋu hóa audit trail nhҵm làm giҧm giá thành hӋ thӕng và duy
trì đӫ hiӋu suҩt. Nӱa cuӕi nhӳng năm 90 chӭng kiӃn sӵ mӣ rӝng cӫa các ӭng dөng tҥo
audit trail mӟi đӇ quҧn lý, như router, network traffic monitor, và firewall. Tuy hӋ
phương pháp IDS đã phát triӇn trong suӕt 20 năm, câu hӓi vүn đưӧc đһt ra: q &
*
%+
,-.!/0&$%!1  3
4
56
Scanner, các công cө thăm dò và đánh giá chính sách rҩt hiӋu quҧ trong viӋc tìm lӛ
hәng bҧo mұt trưӟc khi bӏ tҩn công. Chúng có thӇ làm đưӧc điӅu đó dӵa trên viӋc tìm
khiӃm khuyӃt, cҩu hình sai có thӇ can thiӋp đưӧc cӫa hӋ điӅu hành và ӭng dөng, nhӳng
hӋ thӕng, cҩu hình ӭng dөng, thao tác trái ngưӧc vӟi chính sách chung. Các công cө này
có thӇ trҧ lӡi đưӧc câu hӓi ³đӝ an toàn cӫa môi trưӡng trưӟc sӵ dùng sai´, chúng cung
cҩp phương thӭc tӕt nhҩt đӇ đánh giá đӝ an toàn cӫa hӋ điӅu hành và ӭng dөng. Chúng có
thӇ cung cҩp sӵ đánh giá chính sách mӝt cách tӵ đӝng dӵa trên yêu cҫu bҧo mұt cӫa công
ty như phiên bҧn cӫa phҫn mӅm, đӝ dài mұt mã,« Tuy nhiên, hҫu hӃt các scanner chӍ
báo cáo lҥi vӅ lӛ hәng bҧo mұt và yêu cҫu chӍnh sӱa tình trҥng đó mӝt cách thӫ công.
Hơn nӳa, nó yêu cҫu mӝt thӫ tөc đӏnh kǤ mӛi khi cài đһt mӝt hӋ điӅu hành, server hay
ӭng dөng mӟi vào mҥng. Cũng như các công cө kiӇm tra biên bҧn, scanner và các công
cө thăm dò, đánh giá chính sách không thӇ mӣ rӝng quy mô do dӵa trên hoҥt đӝng cӫa
con ngưӡi và các ràng buӝc bҧo mұt có tính chuyên môn cho mӝt tә chӭc. Ta có mӝt
chân lý là ³nӃu ta không thӇ đo đưӧc nó thì ta không thӇ quҧn lý đưӧc nó´. Mӝt lӧi ích
quan trӑng khác cӫa công cө đánh giá bҧo mұt là cho phép quҧn lý cҧ vӟi đӝ lӋch trong


bҧo mұt và biӇu đӗ thông tin. Nó có thӇ đưӧc sӱ dөng đӇ xác đӏnh hiӋu quҧ thӵc tӃ cӫa
bҧo mұt và dӵ đoán hiӋn tҥi cũng như tương lai.

CHƯƠNG II: Hӊ ›HӔNG PHÁ› HIӊN XÂM NHҰP IDS


I .›ng qan vӅ IDS
A.Ê G th vӅ IDS
Cách đây khoҧng 25 năm, khái niӋm phát hiӋn xâm nhұp xuҩt hiӋn qua mӝt bài báo cӫa
James Anderson. Khi đó ngưӡi ta cҫn IDS vӟi mөc đích là dò tìm và nghiên cӭu các hành
vi bҩt thưӡng và thái đӝ cӫa ngưӡi sӱ dөng trong mҥng, phát hiӋn ra các viӋc làm dөng
đһc quyӅn đӇ giám sát tài sҧn hӋ thӕng mҥng. Các nghiên cӭu vӅ hӋ thӕng phát hiӋn xâm
nhұp đưӧc nghiên cӭu chính thӭc tӯ năm 1983 đӃn năm 1988 trưӟc khi đưӧc sӱ dөng tҥi
mҥng máy tính cӫa không lӵc Hoa KǤ. Cho đӃn tұn năm 1996, các khái niӋm IDS vүn
chưa đưӧc phә biӃn, mӝt sӕ hӋ thӕng IDS chӍ đưӧc xuҩt hiӋn trong các phòng thí nghiӋm
và viӋn nghiên cӭu. Tuy nhiên trong thӡi gian này, mӝt sӕ công nghӋ IDS bҳt đҫu phát
triӇn dӵa trên sӵ bùng nә cӫa công nghӋ thông tin.ĐӃn năm 1997 IDS mӟi đưӧc biӃt đӃn
rӝng rãi và thӵc sӵ đem lҥi lӧi nhuұn vӟi sӵ đi đҫu cӫa công ty ISS, mӝt năm sau đó,


CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 17

Cisco nhұn ra tҫm quan trӑng cӫa IDS và đã mua lҥi mӝt công ty cung cҩp giҧi pháp IDS
tên là Wheel.
HiӋn tҥi, các thӕng kê cho thҩy IDS/IPS đang là mӝt trong các công nghӋ an ninh đưӧc sӱ
dөng nhiӅu nhҩt và vүn còn phát triӇn

m.Ê Khái nim DzPhát hin xâm nhpdz


Phát hiӋn xâm nhұp là tiӃn trình theo dõi các sӵ kiӋn xҧy ra trên mӝt hӋ thӕng máy tính
hay hӋ thӕng mҥng, phân tích chúng đӇ tìm ra các dҩu hiӋu ³xâm nhұp bҩt hӧp pháp´.
Xâm nhұp bҩt hӧp pháp đưӧc đӏnh nghĩa là sӵ cӕ gҳng tìm mӑi cách đӇ xâm hҥi đӃn tính
toàn vҽn, tính sҹn sàng, tính có thӇ tin cұy hay là sӵ cӕ gҳng vưӧt qua các cơ chӃ bҧo mұt
cӫa hӋ thӕng máy tính hay mҥng đó. ViӋc xâm nhұp có thӇ là xuҩt phát tӯ mӝt kҿ tҩn
công nào đó trên mҥng Internet nhҵm giành quyӅn truy cұp hӋ thӕng, hay cũng có thӇ là
mӝt ngưӡi dùng đưӧc phép trong hӋ thӕng đó muӕn chiӃm đoҥt các quyӅn khác mà hӑ
chưa đưӧc cҩp phát. Như đã đӅ cұp ӣ trên, hӋ thӕng phát hiӋn xâm nhұp là hӋ thӕng phҫn
mӅm hoһc phҫn cӭng có khҧ năng tӵ đӝng theo dõi và phân tích đӇ phát hiӋn ra các dҩu
hiӋu xâm nhұp.
ÍÊ ?789
?78
Là các hӋ thӕng phát hiӋn tҩn công, nó có thӇ bҳt giӳ các gói tin đưӧc truyӅn trên
các thiӃt bӏ mҥng (cҧ hӳu tuyӃn và vô tuyӃn) và so sánh chúng vӟi cơ sӣ dӳ liӋu các tín
hiӋu.
ÍÊ |789
|78
Đưӧc cài đһt như là mӝt tác nhân trên máy chӫ.Nhӳng hӋ thӕng phát hiӋn xâm
nhұp này có thӇ xem nhӳng tӋp tin log cӫa các trình ӭng dөng hoһc cӫa hӋ thӕng đӇ phát
hiӋn nhӳng hành đӝng xâm nhұp.
ÍÊ :
Là nhӳng phҫn mà ta có thӇ thҩy đưӧc trong mӝt gói dӳ liӋu.Nó đưӧc sӱ dөng đӇ
phát hiӋn ra mӝt hoһc nhiӅu kiӇu tҩn công.Signature có thӇ có mһt trong các phҫn khác
nhau cӫa mӝt gói dӳ liӋu.Ví dө ta có thӇ tìm thҩy các tín hiӋu trong header IP, header cӫa
tҫng giao vұn (TCP, UDP header) hoһc header tҫng ӭng dөng.Thông thưӡng, IDS ra


quyӃt đӏnh dӵa trên nhӳng tín hiӋu tìm thҩy ӣ hành đӝng xâm nhұp.Các nhà cung cҩp IDS
cũng thưӡng xuyên cұp nhұt nhӳng tín hiӋu tҩn công mӟi khi chúng bӏ phát hiӋn ra.
ÍÊ 
Là nhӳng lӡi thông báo ngҳn vӅ nhӳng hành đӝng xâm nhұp bҩt hӧp pháp.Khi
IDS phát hiӋn ra kҿ xâm nhұp, nó sӁ thông báo cho ngưӡi quҧn trӏ bҧo mұt bҵng alert.
Alert có thӇ hiӋn ngay trên màn hình, khi đăng nhұp hoһc bҵng mail và bҵng nhiӅu cách
khác. Alert cũng có thӇ đưӧc lưu vào file hoһc vào cơ sӣ dӳ liӋu đӇ các chuyên gia bҧo
mұt có thӇ xem lҥi.
ÍÊ 
ŠÊ Thông thưӡng, nhӳng thông tin mà IDS thu đưӧc sӁ lưu lҥi trong file.
Chúng có thӇ đưӧc lưu lҥi dưӟi dҥng text hoһc dҥng nhӏ phân. Tӕc đӝ lưu
lҥi thông tin ӣ dҥng nhӏ phân sӁ nhanh hơn ӣ dҥng text.
ÍÊ w&
Là nhӳng thông báo đúng vӅ mӝt dҩu giӕng dҩu hiӋu xâm nhұp nhưng hành đӝng .
ÍÊ 
Là nhӳng thiӃt bӏ mà hӋ thӕng phát hiӋn xâm nhұp chҥy trên nó bӣi vì nó đưӧc sӱ
dөng như các giác quan trên mҥng.Cũng tương tӵ như các sensor trong các tài liӋu kӻ
thuұt khác, sensor dùng đӇ bҳt tín hiӋu âm thanh, màu sҳc, áp xuҩt... thì sensor ӣ đây sӁ
bҳt các tín hiӋu có dҩu hiӋu cӫa xâm nhұp bҩt hӧp pháp.
Vӏ trí cӫa sensor phө thuӝc vào mô hình cӫa hӋ thӕng mҥng. Ta có thӇ đһt ӣ mӝt
hoһc nhiӅu nơi, nó phө thuӝc vào loҥi hoҥt đӝng mà ta muӕn giám sát (internal, external
hoһc cҧ 2). Ví dө, nӃu ta muӕn giám sát hành đӝng xâm nhұp tӯ bên ngoài và ta chӍ có
mӝt router kӃt nӕi vӟi internet thì nơi thích hӧp nhҩt là đһt phía sau thiӃt bӏ router (hay
firewall). NӃu ta có nhiӅu đưӡng kӃt nӕi vӟi Interrnet thì ta có thӇ đһt sensor tҥi mӛi điӇm
kӃt nӕi vӟi Internet. Ta có thӇ hình dung qua hình vӁ sau:

1`
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 19

2.Ê IDS (Intrusion Detection System- h thng phát hin xâm nhp)
là mӝt hӋ thӕng giám sát lưu thông mҥng, các hoҥt đӝng khҧ nghi và cҧnh báo cho
hӋ thӕng, nhà quҧn trӏ.Ngoài ra,IDS cũng đҧm nhұn viӋc phҧn ӭng lҥi các lưu thông bҩt
thӯong hay có hҥi bҵng các hành đӝng đã đưӧc thiӃt lұp tӯ trưӟc như khóa ngưӡi dùng
hay hay đӏa chӍ IP nguӗn đó truy cұp hӋ thӕng mҥng.
- IDS cũng có thӇ phân biӋt giӳa nhӳng tҩn công bên trong tӯ bên trong (tӯ nhӳng
ngưӡi trong công ty) hay tҩn công tӯ bên ngoài (tӯ các hacker). IDS phát hiӋn dӵa trên
các dҩu hiӋu đһc biӋt vӅ các nguy cơ đã biӃt (giӕng như cách các phҫn mӅm diӋt virus
dӵa vào các dҩu hiӋu đһc biӋt đӇ phát hiӋn và diӋt virus) hay dӵa trên so sánh lưu thông
mҥng hiӋn tҥi vӟi baseline (thông sӕ đo đҥc chuҭn cӫa hӋ thӕng) đӇ tìm ra các dҩu hiӋu
khác thưӡng.
HӋ thӕng phát hiӋn xâm nhұp trái phép là nhӳng ӭng dөng phҫn mӅm chuyên dөng
đӇ phát hiӋn xâm nhұp vào hӋ thӕng mҥng cҫn bҧo vӋ.IDS đưӧc thiӃt kӃ không phҧi vӟi
mөc đích thay thӃ các phương pháp bҧo mұt truyӅn thӕng, mà đӇ hoàn thiӋn nó. Mӝt hӋ
thӕng phát hiӋn xâm nhұp trái phép cҫn phҧi thӓa mãn nhӳng yêu cҫu sau:


ÍÊ Tính chính xác (Accuracy): IDS không đưӧc coi nhӳng hành đӝng thông thưӡng
trong môi trưӡng hӋ thӕng là nhӳng hành đӝng bҩt thưӡng hay lҥm dөng (hành
đӝng thông thưӡng bӏ coi là bҩt thưӡng đưӧc gӑi là  ).
ÍÊ HiӋu năng (Performance): HiӋu năng cӫa IDS phҧi đӫ đӇ phát hiӋn xâm nhұp trái
phép trong thӡi gian thӵc (thӡi gian thӵc nghĩa là hành đӝng xâm nhұp trái phép
phҧi đưӧc phát hiӋn trưӟc khi xҧy ra tәn thương nghiêm trӑng tӟi hӋ - theo
[Ranum, 2000] là dưӟi 1 phút).
ÍÊ Tính trӑn vҽn (Completeness): IDS không đưӧc bӓ qua mӝt xâm nhұp trái phép
nào (xâm nhұp không bӏ phát hiӋn đưӧc gӑi là  ). Đây là mӝt điӅu
kiӋn khó có thӇ thӓa mãn đưӧc vì gҫn như không thӇ có tҩt cҧ thông tin vӅ các tҩn
công tӯ quá khӭ, hiӋn tҥi và tương lai.
ÍÊ Chӏu lӛi (Fault Tolerance): bҧn thân IDS phҧi có khҧ năng chӕng lҥi tҩn công.
ÍÊ Khҧ năng mӣ rӝng (Scalability): IDS phҧi có khҧ năng xӱ lý trong trҥng thái xҩu
nhҩt là không bӓ sót thông tin. Yêu cҫu này có liên quan đӃn hӋ thӕng mà các sӵ
kiӋn tương quan đӃn tӯ nhiӅu nguӗn tài nguyên vӟi sӕ lưӧng host nhӓ. Vӟi sӵ phát
triӇn nhanh và mҥnh cӫa mҥng máy tính, hӋ thӕng có thӇ bӏ quá tҧi bӣi sӵ tăng
trưӣng cӫa sӕ lưӧng sӵ kiӋn.

Ê Phân bt nhӳng h thӕng không phҧ l IDS
Trái ngưӧc vӟi nhӳng thuұt ngӳ đưӧc sӱ dөng trong các bài giҧng vӅ hӋ thӕng phát
hiӋn xâm nhұp, không phҧi mӑi thӭ đӅu đưӧc qui vào mөc này. Theo mӝt cách riêng biӋt
nào đó, các thiӃt bӏ bҧo mұt dưӟi đây không phҧi là IDS:
²Ê HӋ thӕng đăng nhұp mҥng đưӧc sӱ dөng đӇ phát hiӋn lӛ hәng đӕi vӟi vҩn đӅ tҩn
công tӯ chӕi dӏch vө (DoS) trên mӝt mҥng nào đó. Ӣ đó sӁ có hӋ thӕng kiӇm tra lưu
lưӧng mҥng.
²Ê Các công cө đánh giá lӛ hәng kiӇm tra lӛi và lӛ hәng trong hӋ điӅu hành, dӏch vө
mҥng (các bӝ quét bҧo mұt).
²Ê Các sҧn phҭm chӕng virus đưӧc thiӃt kӃ đӇ phát hiӋn các phҫn mӅm mã nguy
hiӇm như virus, trojan horse, worm,...Mһc dù nhӳng tính năng mһc đӏnh có thӇ giӕng IDS
và thưӡng cung cҩp mӝt công cө phát hiӋn lӛ hәng bҧo mұt hiӋu quҧ.
²Ê Tưӡng lӱa ± firewall
²Ê Các hӋ thӕng bҧo mұt, mұt mã như: SSL, Kerberos, VPN,..

20
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 21

B.Ê  ích cӫa IDS:


Lӧi thӃ cӫa hӋ thӕng này là có thӇ phát hiӋn đưӧc nhӳng kiӇu tҩn công chưa biӃt trưӟc.
Tuy nhiên, hӋ thӕng này lҥi sinh ra nhiӅu cҧnh báo sai do đӏnh nghĩa quá chung vӅ cuӝc
tҩn công. Thӕng kê cho thҩy trong hӋ thӕng này, hҫu hӃt các cҧnh báo là cҧnh báo sai,
trong đó có rҩt nhiӅu cҧnh báo là tӯ nhӳng hành đӝng bình thưӡng, chӍ có mӝt vài hành
đӝng là có ý đӗ xҩu, vҩn đӅ là ӣ chӛ hҫu hӃt các hӋ thӕng đӅu có ít khҧ năng giӟi hҥn các
cҧnh báo nhҫm đó.
Sӱ dөng hӋ thӕng IDS đӇ nâng cao khҧ năng quҧn lý và bҧo vӋ mҥng,lӧi ích mà nó đem
lҥi là rҩt lӟn. Mӝt mһt nó giúp hӋ thӕng an toàn trưӟc nhӳng nguy cơ tҩn công, mһt khác
nó cho phép nhà quҧn trӏ nhұn dҥng và phát hiӋn đưӧc nhӳng nguy cơ tiӅm ҭn dӵa trên
nhӳng phân tích và báo cáo đưӧc IDS cung cҩp. Tӯ đó, hӋ thӕng IDS có thӇ góp phҫn
loҥi trӯ đưӧc mӝt cách đáng kӇ nhӳng lӛ hәng vӅ bҧo mұt trong môi trưӡng mҥng.
C.Sӵ khác nhau giӳa IDS và IPS

m.IDS (Intrusion Detection System )

HӋ thӕng phát hiӋn xâm nhұp (Intrusion Detection System ± IDS) là hӋ thӕng phҫn cӭng
hoһc phҫn mӅm có chӭc năng tӵ đӝng theo dõi các sӵ kiӋn xҧy ra trên hӋ thӕng máy tính,
phân tích đӇ phát hiӋn ra các vҩn đӅ liên quan đӃn an ninh, bҧo mұt. Khi mà sӕ vө tҩn
công, đӝt nhұp vào các hӋ thӕng máy tính, mҥng ngày càng tăng, hӋ thӕng phát hiӋn xâm
nhұp càng có ý nghĩa quan trӑng và cҫn thiӃt hơn trong nӅn tҧng bҧo mұt cӫa các tә
chӭc.Ý tưӣng cӫa công nghӋ này là mӑi cuӝc tҩn công chӕng lҥi bҩt cӭ thành phҫn nào
cӫa môi trưӡng đưӧc bҧo vӋ sӁ bӏ làm chӋch hưӟng bҵng các giҧi pháp ngăn ngӯa xâm
nhұp. Vӟi ³quyӅn tӕi thưӧng´, các HӋ thӕng Ngăn ngӯa Xâm nhұp có thӇ ³nҳm´ lҩy bҩt
cӭ lưu lưӧng nào cӫa các gói tin mҥng và đưa ra quyӃt đӏnh có chӫ ý ± liӋu đây có phҧi là
mӝt cuӝc tҩn công hay mӝt sӵ sӱ dөng hӧp pháp ± sau đó thӵc hiӋn hành đӝng thích hӧp

21
đӇ hoàn thành tác vө mӝt cách trӑn vҽn. KӃt quҧ cuӕi cùng là mӝt nhu cҫu có hҥn đӏnh
cho các giҧi pháp phát hiӋn hay giám sát thâm nhұp mӝt khi tҩt cҧ nhӳng gì liên quan đӃn
mӕi đe doҥ đӅu bӏ ngăn chһn.

2 .IPS (phát hiêNn và ngăn chăNn xâm nhâNp )

2.1Ê? 
    
  

IPS có hai chӭc năng chính là phát hiӋn các cuӝc tҩn công và chӕng lҥi các cuӝc tҩn công
đó. Phҫn lӟn hӋ thӕng IPS đưӧc đһt ӣ vành đai mҥng, đӫ khҧ năng bҧo vӋ tҩt cҧ các thiӃt
bӏ trong mҥng.2.1. KiӃn trúc hung cӫa các hӋ thӕng IPSMӝt hӋ thӕng IPS đưӧc xem là
thành công nӃu chúng hӝi tө đưӧc các yӃu tӕ: thӵc hiӋn nhanh, chính xác, đưa ra các
thông báo hӧp lý, phân tích đưӧc toàn bӝ thông lưӧng, cҧm biӃn tӕi đa, ngăn chһn thành
công và chính sách quҧn lý mӅm dҿo. HӋ thӕng IPS gӗm 3 modul chính: modul phân tích
luӗng dӳ liӋu, modul phát hiӋn tҩn công, modul phҧn ӭng.
²Ê Module phân tích luӗng dӳ liӋu:
Modul này có nhiӋm vө lҩy tҩt các gói tin đi đӃn mҥng đӇ phân tích. Thông thưӡng các
gói tin có đӏa chӍ không phҧi cӫa mӝt card mҥng thì sӁ bӏ card mҥng đó huӹ bӓ nhưng
card mҥng cӫa IPS đưӧc đһt ӣ chӃ đӝ thu nhұn tҩt cҧ. Tҩt cҧ các gói tin qua chúng đӅu
đưӧc sao chөp, xӱ lý, phân tích đӃn tӯng trưӡng thông tin. Bӝ phân tích đӑc thông tin
tӯng trưӡng trong gói tin, xác đӏnh chúng thuӝc kiӇu gói tin nào, dӏch vө gì... Các thông
tin này đưӧc chuyӇn đӃn modul phát hiӋn tҩn công.
²Ê Modul phát hiӋn tҩn công:
Đây là modul quan trӑng nhҩt trong hӋ thӕng có nhiӋm vө phát hiӋn các cuӝc tҩn công.
Có hai phương pháp đӇ phát hiӋn các cuӝc tҩn công, xâm nhұp là dò sӵ lҥm dөng và dò
sӵ không bình thưӡng.
Phương pháp dò sӵ lҥm dөng: Phương pháp này phân tích các hoҥt đӝng cӫa hӋ thӕng,
tìm kiӃm các sӵ kiӋn giӕng vӟi các mүu tҩn công đã biӃt trưӟc. Các mүu tҩn công biӃt
trưӟc này gӑi là các dҩu hiӋu tҩn công. Do vұy phương pháp này còn đưӧc gӑi là phương
pháp dò dҩu hiӋu. KiӇu phát hiӋn tҩn công này có ưu điӇm là phát hiӋn các cuӝc tҩn công

22
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 23

nhanh và chính xác, không đưa ra các cҧnh báo sai làm giҧm khҧ nǎng hoҥt đӝng cӫa
mҥng và giúp các ngưӡi quҧn trӏ xác đӏnh các lӛ hәng bҧo mұt trong hӋ thӕng cӫa mình.
Tuy nhiên, phương pháp này có nhưӧc điӇm là không phát hiӋn đưӧc các cuӝc tҩn công
không có trong cơ sӣ dӳ liӋu, các kiӇu tҩn công mӟi, do vұy hӋ thӕng luôn phҧi cұp nhұt
các mүu tҩn công mӟi.
Phương pháp dò sӵ không bình thưӡng: Đây là kӻ thuұt dò thông minh, nhұn dҥng ra các
hành đӝng không bình thưӡng cӫa mҥng. Quan niӋm cӫa phương pháp này vӅ các cuӝc
tҩn công là khác so vӟi các hoҥt đӝng thông thưӡng.Ban đҫu, chúng lưu trӳ các mô tҧ sơ
lưӧc vӅ các hoҥt đӝng bình thưӡng cӫa hӋ thӕng. Các cuӝc tҩn công sӁ có nhӳng hành
đӝng khác so vӟi bình thưӡng và phương pháp dò này có thӇ nhұn dҥng. Có mӝt sӕ kӻ
thuұt giúp thӵc hiӋn dò sӵ không bình thưӡng cӫa các cuӝc tҩn công như dưӟi đây:
- Phát hiӋn mӭc ngưӥng: Kӻ thuұt này nhҩn mҥnh viӋc đo đӃm các hoҥt đӝng bình
thưӡng trên mҥng. Các ӭc ngưӥng vӅ các hoҥt đӝng bình thưӡng đưӧc đһt ra.NӃu có sӵ
bҩt thưӡng nào đó như đǎng nhұp vӟi sӕ lҫn quá quy đӏnh, sӕ lưӧng các tiӃn trình hoҥt
đӝng trên CPU, sӕ lưӧng mӝt loҥi gói tin đưӧc gӱi vưӧt quá mӭc... thì hӋ thӕng có dҩu
hiӋu bӏ tҩn công.
- Phát hiӋn nhӡ quá trình tӵ hӑc: Kӻ thuұt này bao gӗm hai bưӟc. Khi bҳt đҫu thiӃt lұp, hӋ
thӕng phát hiӋn tҩn công sӁ chҥy ӣ chӃ đӝ tӵ hӑc và tҥo ra mӝt hӗ sơ vӅ cách cư xӱ cӫa
mҥng vӟi các hoҥt đӝng bình thưӡng. Sau thӡi gian khӣi tҥo, hӋ thӕng sӁ chҥy ӣ chӃ đӝ
làm viӋc, tiӃn hành theo dõi, phát hiӋn các hoҥt đӝng bҩt thưӡng cӫa mҥng bҵng cách so
sánh vӟi hӗ sơ đã thiӃt lұp. ChӃ đӝ tӵ hӑc có thӇ chҥy song song vӟi chӃ đӝ làm viӋc đӇ
cұp nhұt hӗ sơ cӫa mình nhưng nӃu dò ra có tín hiӋu tҩn công thì chӃ đӝ tӵ hӑc phҧi dӯng
lҥi cho tӟi khi cuӝc tҩn công kӃt thúc.
- Phát hiӋn sӵ không bình thưӡng cӫa các giao thӭc: Kӻ thuұt này cǎn cӭ vào hoҥt đӝng
cӫa các giao thӭc, các dӏch vө cӫa hӋ thӕng đӇ tìm ra các gói tin không hӧp lӋ, các hoҥt
đӝng bҩt thưӡng vӕn là dҩu hiӋu cӫa sӵ xâm nhұp, tҩn công. Kӻ thuұt này rҩt hiӋu quҧ
trong viӋc ngǎn chһn các hình thӭc quét mҥng, quét cәng đӇ thu thұp thông tin cӫa các tin
tһc.

Phương pháp dò sӵ không bình thưӡng cӫa hӋ thӕng rҩt hӳu hiӋu trong viӋc phát hiӋn các
cuӝc tҩn công kiӇu tӯ chӕi dӏch vө. Ưu điӇm cӫa phương pháp này là có thӇ phát hiӋn ra
các kiӇu tҩn công mӟi, cung cҩp các thông tin hӳu ích bә sung cho phương pháp dò sӵ
lҥm dөng, tuy nhiên chúng có nhưӧc điӇm thưӡng tҥo ra mӝt sӕ lưӧng các cҧnh báo sai
làm giҧm hiӋu suҩt hoҥt đӝng cӫa mҥng. Phương pháp này sӁ là hưӟng đưӧc nghiên cӭu
nhiӅu hơn, khҳc phөc các nhưӧc điӇm còn gһp, giҧm sӕ lҫn cҧnh báo sai đӇ hӋ thӕng chҥy
chuҭn xác hơn.)
²Ê Modul phҧn ӭng
Khi có dҩu hiӋu cӫa sӵ tҩn công hoһc thâm nhұp, modul phát hiӋn tҩn công sӁ gӱi tín
hiӋu báo hiӋu có sӵ tҩn công hoһc thâm nhұp đӃn modul phҧn ӭng. Lúc đó modul phҧn
ӭng sӁ kích hoҥt tưӡng lӱa thӵc hiӋn chӭc nǎng ngǎn chһn cuӝc tҩn công hay cҧnh báo
tӟi ngưӡi quҧn trӏ. Tҥi modul này, nӃu chӍ đưa ra các cҧnh báo tӟi các ngưӡi quҧn trӏ và
dӯng lҥi ӣ đó thì hӋ thӕng này đưӧc gӑi là hӋ thӕng phòng thӫ bӏ đӝng. Modul phҧn ӭng
này tùy theo hӋ thӕng mà có các chӭc nǎng và phương pháp ngǎn chһn khác nhau. Dưӟi
đây là mӝt sӕ kӻ thuұt ngǎn chһn:
- KӃt thúc tiӃn trình: Cơ chӃ cӫa kӻ thuұt này là hӋ thӕng IPS gӱi các gói tin nhҵm phá
huӹ tiӃn trình bӏ nghi ngӡ. Tuy nhiên phương pháp này có mӝt sӕ nhưӧc điӇm. Thӡi gian
gӱi gói tin can thiӋp chұm hơn so vӟi thӡi điӇm tin tһc bҳt đҫu tҩn công, dүn đӃn tình
trҥng tҩn công xong rӗi mӟi bҳt đҫu can thiӋp. Phương pháp này không hiӋu quҧ vӟi các
giao thӭc hoҥt đӝng trên UDP như DNS, ngoài ra các gói tin can thiӋp phҧi có trưӡng thӭ
tӵ đúng như các gói tin trong phiên làm viӋc cӫa tiӃn trình tҩn công. NӃu tiӃn trình tҩn
công xҧy ra nhanh thì rҩt khó thӵc hiӋn đưӧc phương pháp này.
- Huӹ bӓ tҩn công: Kӻ thuұt này dùng tưӡng lӱa đӇ hӫy bӓ gói tin hoһc chһn đưӡng mӝt
gói tin đơn, mӝt phiên làm viӋc hoһc mӝt luӗng thông tin tҩn công. KiӇu phҧn ӭng này là
an toàn nhҩt nhưng lҥi có nhưӧc điӇm là dӉ nhҫm vӟi các gói tin hӧp lӋ.
- Thay đәi các chính sách cӫa tưӡng lӱa: Kӻ thuұt này cho phép ngưӡi quҧn trӏ cҩu hình
lҥi chính sách bҧo mұt khi cuӝc tҩn công xҧy ra. Sӵ cҩu hình lҥi là tҥm thӡi thay đәi các
chính sách điӅu khiӇn truy nhұp bӣi ngưӡi dùng đһc biӋt trong khi cҧnh báo tӟi ngưӡi
quҧn trӏ.


CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 25

- Cҧnh báo thӡi gian thӵc: Gӱi các cҧnh báo thӡi gian thӵc đӃn ngưӡi quҧn trӏ đӇ hӑ nҳm
đưӧc chi tiӃt các cuӝc tҩn công, các đһc điӇm và thông tin vӅ chúng.
- Ghi lҥi vào tӋp tin: Các dӳ liӋu cӫa các gói tin sӁ đưӧc lưu trӳ trong hӋ thӕng các tӋp tin
log. Mөc đích đӇ các ngưӡi quҧn trӏ có thӇ theo dõi các luӗng thông tin và là nguӗn thông
tin giúp cho modul phát hiӋn tҩn cônghoҥtđӝng.

2.2   


  

Có hai kiӇu kiӃn trúc IPS chính là IPS ngoài luӗng và IPS trong luӗng.a) IPS ngoài
luӗngHӋ thӕng IPS ngoài luӗng không can thiӋp trӵc tiӃp vào luӗng dӳ liӋu. Luӗng dӳ
liӋu vào hӋ thӕng mҥng sӁ cùng đi qua tưӡng lӱa và IPS.IPS có thӇ kiӇm soát luӗng dӳ
liӋu vào, phân tích và phát hiӋn các dҩu hiӋu cӫa sӵ xâm nhұp, tҩn công.Vӟi vӏ trí này,
IPS có thӇ quҧn lý bӭc tưӡng lӱa, chӍ dүn nó chһn lҥi các hành đӝng nghi ngӡ mà không
làm ҧnh hưӣng đӃn tӕc đӝ lưu thông cӫa mҥng.
b)IPS trong luӗng
Vӏ trí IPS nҵm trưӟc bӭc tưӡng lӱa, luӗng dӳ liӋu phҧi đi qua IPS trưӟc khi tӟi bӭc tưӡng
lӱa.ĐiӇm khác chính so vӟi IPS ngoài luӗng là có thêm chӭc năng chһn lưu thông.ĐiӅu
đó làm cho IPS có thӇ ngăn chһn luӗng giao thông nguy hiӇm nhanh hơn so vӟi IPS ngoài
luӗng.Tuy nhiên, vӏ trí này sӁ làm cho tӕc đӝ luӗng thông tin ra vào mҥng chұm hơn.

C .Chӭc năng cӫa IDS


HӋ thӕng phát hiӋn xâm nhұp cho phép các tә chӭc bҧo vӋ hӋ thӕng cӫa hӑ khӓi nhӳng đe
dӑa vӟi viӋc gia tăng kӃt nӕi mҥng và sӵ tin cұy cӫa hӋ thӕng thông tin. Nhӳng đe dӑa
đӕi vӟi an ninh mҥng ngày càng trӣ nên cҩp thiӃt đã đһt ra câu hӓi cho các nhà an ninh
mҥng chuyên nghiӋp có nên sӱ dөng hӋ thӕng phát hiӋn xâm nhұp trӯ khi nhӳng đһc tính
cӫa hӋ thӕng phát hiӋn xâm nhұp là hӳu ích cho hӑ, bә sung nhӳng điӇm yӃu cӫa hӋ
thӕng khác«IDS có đưӧc chҩp nhұn là mӝt thành phҫn thêm vào cho mӑi hӋ thӕng an


toàn hay không vүn là mӝt câu hӓi cӫa nhiӅu nhà quҧn trӏ hӋ thӕng. Có nhiӅu tài liӋu giӟi
thiӋu vӅ nhӳng chӭc năng mà IDS đã làm đưӧc nhӳng có thӇ đưa ra vài lý do tҥi sao nên
sӱ dөng hӋ thӕng IDS:
‡ Bҧo vӋ tính toàn vҽn (integrity) cӫa dӳ liӋu, bҧo đҧm sӵ nhҩt quán cӫa dӳ liӋu trong hӋ
thӕng.Các biӋn pháp đưa ra ngăn chһn đưӧc viӋc thay đәi bҩt hӧp pháp hoһc phá hoҥi dӳ
liӋu.
‡ Bҧo vӋ tính bí mұt, giӳ cho thông tin không bӏ lӝ ra ngoài.
Bҧo vӋ tính khҧ dөng, tӭc là hӋ thӕng luôn sҹn sàng thӵc hiӋn yêu cҫu truy nhұp thông tin
cӫa ngưӡi dùng hӧp pháp.
‡ Bҧo vӋ tính riêng tư, tӭc là đҧm bҧo cho ngưӡi sӱ dөng khai thác tài nguyên cӫa hӋ
thӕng theo đúng chӭc năng, nhiӋm vө đã đưӧc phân cҩp, ngăn chһn đưӧc sӵ truy nhұp
thông tin bҩt hӧp pháp.
‡ Cung cҩp thông tin vӅ sӵ xâm nhұp, đưa ra nhӳng chính sách đӕi phó, khôi phөc, sӱa
chӳa«
Nói tóm lҥi ta có thӇ tóm tҳt IDS như sau:
Chӭc năng quan trӑng nhҩt là: giám sát ± cҧnh báo ± bҧo vӋ
ÍÊ Giám sát: lưu lưӧng mҥng và các hoҥt đӝng khҧ nghi.
ÍÊ Cҧnh báo: báo cáo vӅ tình trҥng mҥng cho hӋ thӕng và nhà quҧn trӏ.
ÍÊ Bҧo vӋ: Dùng nhӳng thiӃt lұp mһc đӏnh và sӵ cҩu hình tӯ nhà quҧn trӏ mà có
nhӳng hành đӝng thiӃt thӵc chӕng lҥi kҿ xâm nhұp và phá hoҥi.
ÍÊ Chӭc năng mӣ rӝng:
Phân biӋt: "thù trong giһc ngoài" tҩn công bên trong và tҩn công bên ngoài.
Phát hiӋn: nhӳng dҩu hiӋu bҩt thưӡng dӵa trên nhӳng gì đã biӃt hoһc nhӡ vào sӵ so sánh
thông lưӧng mҥng hiӋn tҥi vӟi baselne.
Ngoài ra hӋ thӕng phát hiӋn xâm nhұp IDS còn có chӭc năng:
ÍÊ Ngăn chһn sӵ gia tăng cӫa nhӳng tҩn công
ÍÊ Bә sung nhӳng điӇm yӃu mà các hӋ thӕng khác chưa làm đưӧc
ÍÊ Đánh giá chҩt lưӧng cӫa viӋc thiӃt kӃ hӋ thӕng


CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 27

Khi IDS chҥy mӝt thӡi gian sӁ đưa ra đưӧc nhӳng điӇm yӃu đó là điӅu hiӇn nhiên.ViӋc
đưa ra nhӳng điӇm yӃu đó nhҵm đánh giá chҩt lưӧng viӋc thiӃt kӃ mҥng cũng như cách
bӕ trí bҧo vӋ phòng thӫ cӫa các nhà quҧn trӏ mҥng.

D.Phân loҥ:
Có hai phương pháp khác nhau trong viӋc phân tích các sӵ kiӋn đӇ phát hiӋn các vө tҩn
công: phát hiӋn dӵa trên các dҩu hiӋu và phát hiӋn sӵ bҩt thưӡng. Các sҧn phҭm IDS có
thӇ sӱ dөng mӝt trong hai cách hoһc sӱ dөng kӃt hӧp cҧ hai.
ÍÊ Phát hn dҩ h không bình thưӡng

HӋ thӕng phát hiӋn xâm phҥm phҧi có khҧ năng phân biӋt giӳa các hoҥt đӝng
thông thưӡng cӫa ngưӡi dùng và hoҥt đӝng bҩt thưӡng đӇ tìm ra đưӧc các tҩn công
nguy hiӇm kӏp thӡi. Mһc dù vұy, viӋc dӏch các hành vi ngưӡi dùng (hoһc session
hӋ thӕng ngưӡi dùng hoàn chӍnh) trong mӝt quyӃt đӏnh liên quan đӃn bҧo mұt phù
hӧp thưӡng không đơn giҧn ± nhiӅu hành vi không đưӧc dӵ đӏnh trưӟc và không
rõ ràng (Hình 2). ĐӇ phân loҥi các hành đӝng, IDS phҧi lӧi dөng phương pháp
phát hiӋn dӏ thưӡng, đôi khi là hành vi cơ bҧn hoһc các dҩu hiӋu tҩn công,« mӝt
thiӃt bӏ mô tҧ hành vi bҩt thưӡng đã biӃt (phát hiӋn dҩu hiêu) cũng đưӧc gӑi là
kiӃn thӭc cơ bҧn.

Hình : Các hành vi cӫa ngưӡi dùng trong hӋ thӕng

Các mүu hành vi thông thưӡng ± phát hiӋn bҩt thưӡng

Các mүu hành vi thông thưӡng rҩt hӳu ích trong viӋc dӵ đoán ngưӡi dùng và hành
vi hӋ thӕng. Do đó các bӝ phát hiӋn bҩt thưӡng xây dӵng profile thӇ hiӋn viӋc sӱ
dөng thông thưӡng và sau đó sӱ dөng dӳ liӋu hành vi thông thưӡng đӇ phát hiӋn
sӵ không hӧp lӋ giӳa các profile và nhұn ra tҩn công có thӇ.

ĐӇ hӧp lý vӟi các profile sӵ kiӋn, hӋ thӕng bӏ yêu cҫu phҧi tҥo ra profile ngưӡi
dùng ban đҫu đӇ ³đào tҥo´ hӋ thӕng quan tâm đӃn sӵ hӧp pháp hóa hành vi ngưӡi
dùng. Có mӝt vҩn đӅ liên quan đӃn viӋc làm profile ӣ đây đó là: khi hӋ thӕng đưӧc
phép ³hӑc´ trên chính nó, thì nhӳng kҿ xâm nhұp cũng có thӇ đào tҥo hӋ thӕng ӣ
điӇm này, nơi mà các hành vi xâm phҥm trưӟc trӣ thành hành vi thông thưӡng.


Mӝt profile không tương thích sӁ có thӇ đưӧc phát hiӋn tҩt cҧ các hoҥt đӝng xâm
nhұp có thӇ. Ngoài ra, còn có mӝt sӵ cҫn thiӃt nӳa đó là nâng cҩp profile và ³đào
tҥo´ hӋ thӕng, mӝt nhiӋm vө khó khăn và tӕn thӡi gian.

Cho mӝt tұp các profile hành vi thông thưӡng, mӑi thӭ không hӧp vӟi profile đưӧc
lưu sӁ đưӧc coi như là mӝt hoҥt đӝng nghi ngӡ. Do đó, các hӋ thӕng này đưӧc đһc
trưng bӣi hiӋu quҧ phát hiӋn rҩt cao (chúng có thӇ nhұn ra nhiӅu tҩn công mһc dù
tҩn công đó là mӟi có trong hӋ thӕng), tuy nhiên chúng lҥi có hiӋn tưӧng là tҥo các
cҧnh báo sai vӅ mӝt sӕ vҩn đӅ.

Ưu điӇm cӫa phương pháp phát hiӋn bҩt thưӡng này là: có khҧ năng phát hiӋn các
tҩn công mӟi khi có sӵ xâm nhұp; các vҩn đӅ không bình thưӡng đưӧc nhұn ra
không cҫn nguyên nhân bên trong cӫa chúng và các tính cách; ít phө thuӝc vào
IDS đӕi vӟi môi trưӡng hoҥt đӝng (khi so sánh vӟi các hӋ thӕng dӵa vào dҩu
hiӋu); khҧ năng phát hiӋn sӵ lҥm dөng quyӅn cӫa ngưӡi dùng.

Nhӳng nhưӧc điӇm lӟn nhҩt cӫa phương pháp này là:

²Ê Xác suҩt cҧnh báo sai nhiӅu. HiӋu suҩt hӋ thӕng không đưӧc kiӇm tra trong suӕt
quá trình xây dӵng profile và giai đoҥn đào tҥo. Do đó, tҩt cҧ các hoҥt đӝng ngưӡi
dùng bӏ bӓ qua trong suӕt giai đoҥn này sӁ không hӧp lý. Các hành vi ngưӡi dùng
có thӇ thay đәi theo thӡi gian, do đó cҫn phҧi có mӝt sӵ nâng cҩp liên tөc đӕi vӟi
cơ sӣ dӳ liӋu profile hành vi thông thưӡng.
²Ê Sӵ cҫn thiӃt vӅ đào tҥo hӋ thӕng khi thay đәi hành vi sӁ làm hӋ thӕng không có
đưӧc phát hiӋn bҩt thưӡng trong giai đoҥn đào tҥo. (lӛi tiêu cӵc).

ÍÊ Các dҩ h có h nh v xҩ ±phát hn dҩ h

Thông tin xӱ lý hӋ thӕng trong các hành vi bҩt thưӡng và không an toàn (dҩu hiӋu tҩn
công ± dӵa vào các hӋ thӕng) thưӡng đưӧc sӱ dөng trong các hӋ thӕng phát hiӋn xâm
nhұp thӡi gian thӵc (vì sӵ phӭc tҥp trong tính toán cӫa chúng không cao).
Các dҩu hiӋu hành vi xҩu đưӧc chia thành hai loҥi:

²Ê Các dҩu hiӋu tҩn công ± chúng miêu tҧ các mүu hoҥt đӝng có thӇ gây ra mӕi đe
dӑa vӅ bҧo mұt. ĐiӇn hình, chúng đưӧc thӇ hiӋn khi mӕi quan hӋ phө thuӝc thӡi
gian giӳa mӝt loҥt các hoҥt đӝng có thӇ kӃt hӧp lҥi vӟi các hoҥt đӝng trung tính.
²Ê Các chuӛi văn bҧn đưӧc chӑn ± các dҩu hiӋu hӧp vӟi các chuӛi văn bҧn đang tìm
kiӃm các hoҥt đӝng nghi ngӡ.

Bҩt kǤ hoҥt đӝng nào không rõ ràng đӅu có thӇ bӏ xem xét và ngăn cҧn. Do đó, đӝ chính
xác cӫa chúng rҩt cao (sӕ báo cҧnh sai thҩp). Tuy nhiên chúng không thӵc hiӋn mӝt cách
hoàn toàn và không ngăn cҧn hoàn toàn các tҩn công mӟi.

2`
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 29

Có hai phương pháp chính đã kӃt hӧp sӵ phát hiӋn dҩu hiӋu này:

²Ê ViӋc kiӇm tra vҩn đӅ ӣ các gói lӟp thҩp hơn ± nhiӅu loҥi tҩn công khai thác lӛ
hәng trong các gói IP, TCP, UDP hoһc ICMP. Vӟi kiӇm tra đơn giҧn vӅ tұp các cӡ
trên gói đһc trưng hoàn toàn có thӇ phát hiӋn ra gói nào hӧp lӋ, gói nào không.
Khó khăn ӣ đây có thӇ là phҧi mӣ gói và lҳp ráp chúng lҥi. Tương tӵ, mӝt sӕ vҩn
đӅ khác có thӇ liên quan vӟi lӟp TCP/IP cӫa hӋ thӕng đang đưӧc bҧo vӋ. Thưӡng
thì kҿ tҩn công hay sӱ dөng cách mӣ các gói đӇ băng qua đưӧc nhiӅu công cө IDS.
²Ê KiӇm tra giao thӭc lӟp ӭng dөng ± nhiӅu loҥi tҩn công (WinNuke) khai thác các lӛ
hәng chương trình, ví dө, dӳ liӋu đһc biӋt đã gӱi đӃn mӝt kӃt nӕi mҥng đã đưӧc
thành lұp. ĐӇ phát hiӋn có hiӋu quҧ các tҩn công như vұy, IDS phҧi đưӧc bә sung
nhiӅu giao thӭc lӟp ӭng dөng.

Các phương pháp phát hiӋn dҩu hiӋu có mӝt sӕ ưu điӇm dưӟi đây: tӍ lӋ cҧnh báo sai thҩp,
thuұt toán đơn giҧn, dӉ dàng tҥo cơ sӣ dӳ liӋu dҩu hiӋu tҩn công, dӉ dàng bә sung và tiêu
phí hiӋu suҩt tài nguyên hӋ thӕng tӕi thiӇu.

Mӝt sӕ nhưӧc điӇm

²Ê Khó khăn trong viӋc nâng cҩp các kiӇu tҩn công mӟi.
²Ê Chúng không thӇ kӃ thӯa đӇ phát hiӋn các tҩn công mӟi và chưa biӃt. Phҧi nâng
cҩp mӝt cơ sӣ dӳ liӋu dҩu hiӋu tҩn công tương quan vӟi nó.
²Ê Sӵ quҧn lý và duy trì mӝt IDS cҫn thiӃt phҧi kӃt hӧp vӟi viӋc phân tích và vá các
lӛ hәng bҧo mұt, đó là mӝt quá trình tӕn kém thӡi gian.
²Ê KiӃn thӭc vӅ tҩn công lҥi phө thuӝc vào môi trưӡng hoҥt đông ± vì vұy, IDS dӵa
trên dҩu hiӋu nhӳng hành vi xҩu phҧi đưӧc cҩu hình tuân thӫ nhӳng nguyên tҳc
nghiêm ngһt cӫa nó vӟi hӋ điӅu hành (phiên bҧn, nӅn tҧng, các ӭng dөng đưӧc sӱ
dөng,«)
²Ê Chúng dưӡng như khó quҧn lý các tҩn công bên trong. ĐiӇn hình, sӵ lҥm dөng
quyӅn ngưӡi dùng xác thӵc không thӇ phát hiӋn khi có hoҥt đӝng mã nguy hiӇm
(vì chúng thiӃu thông tin vӅ quyӅn ngưӡi dùng và cҩu trúc dҩu hiӋu tҩn công).

ÍÊ Các hӋ thӕng IDS khác nhau đӅu dӵa vào phát hiӋn các xâm nhұp trái phép và
nhӳng hành đӝng dӏ thưӡng.
Quá trình phát hiӋn có thӇ đưӧc mô tҧ bӣi 3 yӃu tӕ cơ bҧn nӅn tҧng sau:
Thu thұp thông tin (information source): KiӇm tra tҩt cҧ các gói tin trên mҥng.
ÍÊ Sӵ phân tích (Analysis): Phân tích tҩt cҧ các gói tin đã thu thұp đӇ cho biӃt hành
đӝng nào là tҩn công.
ÍÊ Cҧnh báo (response): hành đӝng cҧnh báo cho sӵ tҩn công đưӧc phân tích ӣ trên.


m.Network Base IDS (NIDS)

HӋ thӕng IDS dӵa trên mҥng sӱ dөng bӝ dò và bӝ bӝ cҧm biӃn cài đһt trên toàn mҥng.
Nhӳng bӝ dò này theo dõi trên mҥng nhҵm tìm kiӃm nhӳng lưu lưӧng trùng vӟi nhӳng
mô tҧ sơ lưӧc đưӧc đӏnh nghĩa hay là nhӳng dҩu hiӋu. Nhӳng bӝ bӝ cҧm biӃn thu nhұn và
phân tích lưu lưӧng trong thӡi gian thӵc. Khi ghi nhұn đưӧc mӝt mүu lưu lưӧng hay dҩu
hiӋu, bӝ cҧm biӃn gӱi tín hiӋu cҧnh báo đӃn trҥm quҧn trӏ và có thӇ đưӧc cҩu hình nhҵm
tìm ra biӋn pháp ngăn chһn nhӳng xâm nhұp xa hơn. NIPS là tұp nhiӅu sensor đưӧc đһt ӣ
toàn mҥng đӇ theo dõi nhӳng gói tin trong mҥng so sánh vӟi vӟi mүu đã đưӧc đӏnh nghĩa
đӇ phát hiӋn đó là tҩn công hay không.
Đưӧc đһt giӳa kӃt nӕi hӋ thӕng mҥng bên trong và mҥng bên ngoài đӇ giám sát toàn bӝ
lưu lưӧng vào ra. Có thӇ là mӝt thiӃt bӏ phҫn cӭng riêng biӋt đưӧc thiӃt lұp sҹn hay phҫn
mӅm cài đһt trên máy tính. Chӫ yӃu dùng đӇ đo lưu lưӧng mҥng đưӧc sӱ dөng. Tuy nhiên
có thӇ xҧy ra hiӋn tưӧng nghӁn cә chai khi lưu lưӧng mҥng hoҥt đӝng ӣ mӭc cao.

2. Li th ca Network-Based IDSs:


- Quҧn lý đưӧc cҧ mӝt network segment (gӗm nhiӅu host)
- "Trong suӕt" vӟi ngưӡi sӱ dөng lүn kҿ tҩn công
- Cài đһt và bҧo trì đơn giҧn, không ҧnh hưӣng tӟi mҥng
- Tránh DOS ҧnh hưӣng tӟi mӝt host nào đó.


0
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 31

- Có khҧ năng xác đӏnh lӛi ӣ tҫng Network (trong mô hình OSI)
- Đӝc lұp vӟi OS

3. Hn ch ca Network-Based IDSs:


- Có thӇ xҧy ra trưӡng hӧp báo đӝng giҧ (false positive), tӭc không có intrusion mà NIDS
báo là có intrusion.
- Không thӇ phân tích các traffic đã đưӧc encrypt (vd: SSL, SSH, IPSec«)
- NIDS đòi hӓi phҧi đưӧc cұp nhұt các signature mӟi nhҩt đӇ thӵc sӵ an toàn
- Có đӝ trӉ giӳa thӡi điӇm bӏ attack vӟi thӡi điӇm phát báo đӝng. Khi báo đӝng đưӧc phát
ra, hӋ thӕng có thӇ đã bӏ tәn hҥi.
- Không cho biӃt viӋc attack có thành công hay không.Mӝt trong nhӳng hҥn chӃ là giӟi
hҥn băng thông. Nhӳng bӝ dò mҥng phҧi nhұn tҩt cҧ các lưu lưӧng mҥng, sҳp xӃp lҥi
nhӳng lưu lưӧng đó cũng như phân tích chúng. Khi tӕc đӝ mҥng tăng lên thì khҧ năng
cӫa đҫu dò cũng vұy. Mӝt giҧi pháp là bҧo đҧm cho mҥng đưӧc thiӃt kӃ chính xác đӇ cho
phép sӵ sҳp đһt cӫa nhiӅu đҫu dò. Khi mà mҥng phát triӇn, thì càng nhiӅu đҫu dò đưӧc
lҳp thêm vào đӇ bҧo đҧm truyӅn thông và bҧo mұt tӕt nhҩt.
Mӝt cách mà các hacker cӕ gҳng nhҵm che đұy cho hoҥt đӝng cӫa hӑ khi gһp hӋ thӕng
IDS dӵa trên mҥng là phân mҧnh nhӳng gói thông tin cӫa hӑ.Mӛi giao thӭc có mӝt kích
cӥ gói dӳ liӋu giӟi hҥn, nӃu dӳ liӋu truyӅn qua mҥng lӟn hơn kích cӥ này thì gói dӳ liӋu
đó sӁ đưӧc phân mҧnh. Phân mҧnh đơn giҧn chӍ là quá trình chia nhӓ dӳ liӋu ra nhӳng
mүu nhӓ. Thӭ tӵ cӫa viӋc sҳp xӃp lҥi không thành vҩn đӅ miӉn là không xuҩt hiӋn hiӋn
tưӧng chӗng chéo.NӃu có hiӋn tưӧng phân mҧnh chӗng chéo, bӝ cҧm biӃn phҧi biӃt quá
trình tái hӧp lҥi cho đúng.NhiӅu hacker cӕ gҳng ngăn chһn phát hiӋn bҵng cách gӣi nhiӅu
gói dӳ liӋu phân mҧnh chӗng chéo.Mӝt bӝ cҧm biӃn sӁ không phát hiӋn các hoҥt đӝng
xâm nhұp nӃu bӝ cҧm biӃn không thӇ sҳp xӃp lҥi nhӳng gói thông tin mӝt cách chính xác.

4.Host Based IDS (HIDS)


1
Bҵng cách cài đһt mӝt phҫn mӅm trên tҩt cҧ các máy tính chӫ, IPS dӵa trên máy chӫ quan
sát tҩt cҧ nhӳng hoҥt đӝng hӋ thӕng, như các file log và nhӳng lưu lưӧng mҥng thu thұp
đưӧc. HӋ thӕng dӵa trên máy chӫ cũng theo dõi OS, nhӳng cuӝc gӑi hӋ thӕng, lӏch sӱ sә
sách (audit log) và nhӳng thông điӋp báo lӛi trên hӋ thӕng máy chӫ. Trong khi nhӳng đҫu
dò cӫa mҥng có thӇ phát hiӋn mӝt cuӝc tҩn công, thì chӍ có hӋ thӕng dӵa trên máy chӫ
mӟi có thӇ xác đӏnh xem cuӝc tҩn công có thành công hay không. Thêm nӳa là, hӋ thӕng
dӵa trên máy chӫ có thӇ ghi nhұn nhӳng viӋc mà ngưӡi tҩn công đã làm trên máy chӫ bӏ
tҩn công (compromised host).
Không phҧi tҩt cҧ các cuӝc tҩn công đưӧc thӵc hiӋn qua mҥng.Bҵng cách giành quyӅn
truy cұp ӣ mӭc vұt lý (physical access) vào mӝt hӋ thӕng máy tính, kҿ xâm nhұp có thӇ
tҩn công mӝt hӋ thӕng hay dӳ liӋu mà không cҫn phҧi tҥo ra bҩt cӭ lưu lưӧng mҥng
(network traffic) nào cҧ. HӋ thӕng dӵa trên máy chӫ có thӇ phát hiӋn các cuӝc tҩn công
mà không đi qua đưӡng public hay mҥng đưӧc theo dõi, hay thӵc hiӋn tӯ cәng điӅu khiӇn
(console), nhưng vӟi mӝt kҿ xâm nhұp có hiӇu biӃt, có kiӃn thӭc vӅ hӋ IDS thì hҳn có thӇ
nhanh chóng tҳt tҩt cҧ các phҫn mӅm phát hiӋn khi đã có quyӅn truy cұp vұt lý.
Mӝt ưu điӇm khác cӫa IDS dӵa trên máy chӫ là nó có thӇ ngăn chһn các kiӇu tҩn công
dùng sӵ phân mҧnh hoһc TTL. Vì mӝt host phҧi nhұn và tái hӧp các phân mҧnh khi xӱ lí
lưu lưӧng nên IDS dӵa trên host có thӇ giám sát chuyӋn này.


2
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 33

HIDS thưӡng đưӧc cài đһt trên mӝt máy tính nhҩt đinh. Thay vì giám sát hoҥt đӝng cӫa
mӝt network segment, HIDS chӍ giám sát các hoҥt đӝng trên mӝt máy tính. HIDS thưӡng
đưӧc đһt trên các host xung yӃu cӫa tә chӭc, và các server trong vùng DMZ - thưӡng là
mөc tiêu bӏ tҩn công đҫu tiên. Nhiêm vө chính cӫa HIDS là giám sát các thay đәi trên hӋ
thӕng, bao gӗm (not all):
ÍÊ Các tiӃn trình.
ÍÊ Các entry cӫa Registry.
ÍÊ Mӭc đӝ sӱ dөng CPU.
ÍÊ KiӇm tra tính toàn vҽn và truy cұp trên hӋ thӕng file.
ÍÊ Mӝt vài thông sӕ khác.
Các thông sӕ này khi vưӧt qua mӝt ngưӥng đӏnh trưӟc hoһc nhӳng thay đәi khҧ nghi trên
hӋ thӕng file sӁ gây ra báo đӝng.

ý.Li th ca HIDS:


ÍÊ Có khҧ năng xác đinh user liên quan tӟi mӝt event.
ÍÊ HIDS có khҧ năng phát hiӋn các cuӝc tҩn công diӉn ra trên mӝt máy, NIDS không
có khҧ năng này.
ÍÊ Có thӇ phân tích các dӳ liӋu mã hoá.
ÍÊ Cung cҩp các thông tin vӅ host trong lúc cuӝc tҩn công diӉn ra trên host này.

•.Hn ch ca HIDS:


ÍÊ Thông tin tӯ HIDS là không đáng tin cұy ngay khi sӵ tҩn công vào host này thành
công.
ÍÊ Khi OS bӏ "hҥ" do tҩn công, đӗng thӡi HIDS cũng bӏ "hҥ".
ÍÊ HIDS phҧi đưӧc thiӃt lұp trên tӯng host cҫn giám sát .
ÍÊ HIDS không có khҧ năng phát hiӋn các cuӝc dò quét mҥng (Nmap, Netcat«).
ÍÊ HIDS cҫn tài nguyên trên host đӇ hoҥt đӝng.
ÍÊ HIDS có thӇ không hiӋu quҧ khi bӏ DOS.
ÍÊ Đa sӕ chҥy trên hӋ điӅu hành Window. Tuy nhiên cũng đã có 1 sӕ chҥy đưӧc trên
UNIX và nhӳng hӋ điӅu hành khác.

Vì hӋ thӕng IDS dӵa trên máy chӫ đòi hӓi phҫn mӅm IDS phҧi đưӧc cài đһt trên tҩt cҧ
các máy chӫ nên đây có thӇ là cơn ác mӝng cӫa nhӳng nhà quҧn trӏ khi nâng cҩp phiên
bҧn, bҧo trì phҫn mӅm, và cҩu hình phҫn mӅm trӣ thành công viӋc tӕn nhiӅu thӡi gian và
là nhӳng viӋc làm phӭc tҥp. Bӣi vì hӋ thӕng dӵa trên máy chӫ chӍ phân tích nhӳng lưu
lưӧng đưӧc máy chӫ nhұn đưӧc, chúng không thӇ phát hiӋn nhӳng tҩn công thăm dò
thông thưӡng đưӧc thӵc hiӋn nhҵm chӕng lҥi mӝt máy chӫ hay là mӝt nhóm máy chӫ. HӋ
thӕng IDS dӵa trên máy chӫ sӁ không phát hiӋn đưӧc nhӳng chӭc năng quét ping hay dò
cәng (ping sweep and port scans) trên nhiӅu máy chӫ. NӃu máy chӫ bӏ thӓa hiӋp thì kҿ
xâm nhұp hoàn toàn có thӇ tҳt phҫn mӅm IDS hay tҳt kӃt nӕi cӫa máy chӫ đó. Mӝt khi
điӅu này xҧy ra thì các máy chӫ sӁ không thӇ tҥo ra đưӧc cҧnh báo nào cҧ.
Phҫn mӅm IDS phҧi đưӧc cài đһt trên mӛi hӋ thӕng trên mҥng nhҵm cung cҩp đҫy đӫ khҧ
năng cҧnh báo cӫa mҥng.Trong mӝt môi trưӡng hӛn tҥp, điӅu này có thӇ là mӝt vҩn đӅ
bӣi vì phҫn mӅm IDS phҧi tương ӭng nhiӅu hӋ điӅu hành khác nhau. Do đó trưӟc khi
chӑn mӝt hӋ thӕng IDS, chúng ta phҧi chҳc là nó phù hӧp và chҥy đưӧc trên tҩt cҧ các hӋ
điӅu hành.

7.DIDS
DIDS là sӵ kӃt hӧp cҧ các NIDS sensors vӟi nhau hoһc NIDS và HIDS sensor. Mӛi
sensor tҥo ra các attack log và gӱi đӃn cho máy trung tâm nơi có chӭa database server đӇ
xӱ lý.
DIDS có khҧ năng xӱ lý tұp trung, giúp cho ngưӡi quҧn trӏ có khҧ năng theo dõi toàn bӝ
hӋ thӕng. HiӋn nay trên thӃ giӟi có sӵ hiӋn diӋn cӫa mӝt DIDS lӟn nhҩt vӟi nhiӅu sensor
ӣ khҳp mӑi nơi đó là hӋ thӕng Dshield.Dshield là mӝt phҫn cӫa trung tâm ISC (Internet
Storm Center) cӫa viӋn SANS.


ï
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 35

SO SÁNH HOS›BASED IDS VÀ NE› ORBASED IDS


Network-based IDS thưӡng sӱ dөng phương pháp phát hiӋn là anomaly-based và phân
tích dӳ liӋu trong thӡi gian thӵc.Network-based IDS không có tác đӝng tӟi mҥng hay
host, nên không thӇ bҧo vӋ mӝt hӋ xác đӏnh khӓi tҩn công có thӇ thҩy ӣ cҩp mҥng.Nó
cũng chӍ có thӇ quҧn lý tҧi truyӅn thông hiӋn hӳu vӟi workstation, cҩu hình lҥi network
routing có thӇ là cҫn thiӃt vӟi môi trưӡng chuyӇn mҥch.
Host-based IDS thì có thӇ sӱ dөng cҧ hai phương pháp tҩn công là misuse-based và
anomaly-based. HIDS phù hӧp vӟi viӋc giám sát và thu thұp vӃt kiӇm toán cӫa hӋ thӕng
ӣ thӡi gian thӵc cũng như đӏnh kǤ, do đó phân phӕi đưӧc sӵ tұn dөng CPU và mҥng đӗng
thӡi cung cҩp mӝt phương thӭc mӅm dҿo cho quá trình quҧn trӏ bҧo mұt. Do nó hoҥt đӝng
trên host nên HIDS không thӇ chӕng đưӧc kiӇu tҩn công vào mҥng như syn flood, nhưng
có thӇ giҧm bӟt công viӋc cho NIDS đһc biӋt vӟi các cuӝc tҩn công vào hӋ thӕng console
cӫa network-based IDS và trên môi trưӡng chuyӇn mҥch.
VӅ khҧ năng thӵc thi chính sách bҧo mұt cӫa nhà quҧn trӏ, Host-based IDS cũng đưӧc
thiӃt kӃ đӇ thӵc thi các chính sách mӝt cách dӉ dàng, trong khi network-based IDS cҫn
phҧi đưӧc cұp nhұt các chính sách offline và có thӇ gây ҧnh hưӣng vӅ mһt an ninh mҥng
trong thӡi gian ngӯng hoҥt đӝng.


ý
Nói chung network-based IDS thích hӧp vӟi viӋc xác đӏnh giao dӏch phӭc tҥp trên mҥng
và xác đӏnh các vi phҥm bҧo mұt. ViӋc thӵc thi NIDS là lӧi thӃ lӟn khi nó có thӇ lӑc các
cҧnh báo giӕng như HIDS đưӧc điӅu khiӇn tӯ trung tâm, điӅu này tiӋn cho viӋc quҧn lý
và phҧn ӭng vӟi các cuӝc tҩn công.
Như đã nói trên, mӝt tә chӭc sӱ dөng IDS đӇ tăng cưӡng cho chiӃn thuұt bҧo mұt thông
tin hiӋn hành, hӋ thӕng đó sӁ đưӧc tұp trung vào HIDS. Cho dù NIDS cũng có giá trӏ
riêng và cҫn kӃt hӧp chһt chӁ thành giҧi pháp IDS hӧp lý, nó cũng không phù hӧp đӇ phát
triӇn tuân theo kӻ thuұt phát triӇn cӫa sӵ truyӅn dӳ liӋu. Hҫu hӃt các NIDS đӅu không
hoҥt đӝng tӕt trong mҥng chuyӇn mҥch, mҥng tӕc đӝ cao trên 100Mbps, và ӣ mҥng có mã
hóa. Hơn nӳa, khoҧng 80 ± 85% các vө vi phҥm bҧo mұt có nguӗn gӕc tӯ ngay trong tә
chӭc. Do đó, hӋ thӕng phát hiӋn xâm nhұp trái phép có thӇ dӵa phҫn lӟn vào HIDS,
nhưng nên luôn sӱ dөng NIDS đӇ đҧm bҧo an toàn. Nói chung mӝt môi trưӡng thӵc sӵ an
toàn cҫn thӵc hiӋn cҧ HIDS và NIDS nhҵm cung cҩp khҧ năng bҧo mұt cao nhҩt bҵng
cách vӯa quҧn lý tҧi truyӅn thông mҥng và viӋc khai thác trӵc tiӃp mӝt host trên mҥng.

c'!" !"+2 ?78|78 



Như ӣ hình trên ta thҩy chính sách bҧo mұt bao gӗm mӝt Firewall nhҵm hҥn chӃ bӟt các
kӃt nӕi nguy hiӇm vӟi mҥng bên ngoài.Network-based IDS đưӧc đһt trưӟc đưӡng ra
mҥng ngoài nhҵm phân tích dӳ liӋu vào ra hӋ thӕng.Phía bên trong Host-based IDS đưӧc


•
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 37

cài đһt trên các máy cҫn bҧo vӋ và phân tích mӑi tương tác trên máy đó.Manager Console
là nơi nhұn các cҧnh báo tӯ NIDS và HIDS khi chúng phát hiӋn ra có xâm nhұp trái phép.
Ta có thӇ giҧi thích vӅ nhӳng giӟi hҥn cӫa mӛi loҥi IDS bҵng ví dө dưӟi đây, đӗng thӡi
nói đӃn lӧi ích cӫa viӋc kӃt hӧp cҧ hai giҧi pháp. Giҧ sӱ mӝt hacker muӕn xâm nhұp vào
hӋ thӕng. Mӝt IDS ӭng dөng có thӇ phát hiӋn đưӧc hacker đó đӏnh ghi đè root directory
cӫa web server bҵng mӝt tұp file nào đó. Nhưng nó không thӇ phát hiӋn đưӧc nӃu kҿ tҩn
công xóa mӝt thư mөc quan trӑng cӫa hӋ điӅu hành như /etc trên UNIX server. Trong khi
đó mӝt IDS cӫa hӋ điӅu hành có thӇ phát hiӋn đưӧc hacker đӏnh xóa thư mөc quan trӑng
cӫa hӋ điӅu hành nhưng không thӇ phát hiӋn đưӧc nӃu hacker đó đӏnh thӵc hiӋn mӝt tҩn
công dҥng mҥng như LAND (trong đó mӝt gói tin IP đã đưӧc sӱa đәi làm cho server rơi
vào trҥng thái lһp vô hҥn, chiӃm hӃt tài nguyên protocol stack và không thӇ phөc vө
đưӧc). Còn mӝt network-based IDS vӟi bӝ dҩu hiӋu tĩnh có thӇ phát hiӋn đưӧc nӃu
hacker thӵc hiӋn cuӝc tҩn công trên mҥng dҥng DoS attack nhưLAND, nhưng nó không
thӇ phát hiӋn đưӧc nӃu kҿ tҩn công thӵc hiӋn đánh cҳp thông tin credit card thông qua
ӭng dөng cơ sӣ dӳ liӋu. ViӋc kӃt hӧp host-based và network-based IDS có thӇ phát hiӋn
đưӧc tҩt cҧ các kiӇu tҩn công trên.

E.n trúc cӫa IDS


Ngày nay ngưӡi ta phân biӋt các hӋ thӕng IDS khác nhau thông qua viӋc phân tích và
kiӇm tra khác nhau cӫa các hӋ thӕng.Mӝt hӋ thӕng IDS đưӧc xem là thành công nӃu
chúng hӝi tө đưӧc các yӃu tӕ: thӵc hiӋn nhanh, chính xác, đưa ra các thông báo hӧp lý,
phân tích đưӧc toàn bӝ thông lưӧng, cҧm biӃn tӕi đa, ngǎn chһn thành công và chính sách
quҧn lý mӅm dҿo.Mӛi hӋ thӕng có nhӳng ưu điӇm cũng như khuyӃt điӇm riêng nhưng các
hӋ thӕng có thӇ đưӧc mô tҧ dưӟi mô hình tәng quát chung như sau:

m. Các nhim v thc hin


NhiӋm vө chính cӫa các hӋ thӕng phát hiӋn xâm phҥm là bҧo vӋ cho mӝt hӋ thӕng máy
tính bҵng cách phát hiӋn các dҩu hiӋu tҩn công.ViӋc phát hiӋn các tҩn công phө thuӝc vào
sӕ lưӧng và kiӇu hành đӝng thích hӧp.ĐӇ ngăn chһn xâm phҥm tӕt cҫn phҧi kӃt hӧp tӕt
giӳa ³bҧ và bүy´ đưӧc trang bӏ cho viӋc nghiên cӭu các mӕi đe dӑa.ViӋc làm lӋnh hưӟng


Ô
sӵ tұp trung cӫa kҿ xâm nhұp vào tài nguyên đưӧc bҧo vӋ là mӝt nhiӋm vө quan trӑng
khác.Toàn bӝ hӋ thӕng cҫn phҧi đưӧc kiӇm tra mӝt cách liên tөc.Dӳ liӋu đưӧc tҥo ra tӯ
các hӋ thӕng phát hiӋn xâm nhұp đưӧc kiӇm tra mӝt cách cҭn thұn (đây là nhiӋm vө chính
cho mӛi IDS) đӇ phát hiӋn các dҩu hiӋu tҩn công (sӵ xâm phҥm).

prevention

Simulation

Intrustion Monitoring

Analysis

Intruction detection

Notification

Respose

Khi mӝt hành đӝng xâm nhұp đưӧc phát hiӋn, IDS đưa ra các cҧnh báo đӃn các quҧn trӏ
viên hӋ thӕng vӅ sӵ viӋc này. Bưӟc tiӃp theo đưӧc thӵc hiӋn bӣi các quҧn trӏ viên hoһc có
thӇ là bҧn thân IDS bҵng cách lӧi dөng các tham sӕ đo bә sung (các chӭc năng khóa đӇ


`
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 39

giӟi hҥn các session, backup hӋ thӕng, đӏnh tuyӃn các kӃt nӕi đӃn bүy hӋ thӕng, cơ sӣ hҥ
tҫng hӧp lӋ,«) ± theo các chính sách bҧo mұt cӫa các tә chӭc (Hình 2.3.1b). Mӝt IDS là
mӝt thành phҫn nҵm trong chính sách bҧo mұt.
Giӳa các nhiӋm vө IDS khác nhau, viӋc nhұn ra kҿ xâm nhұp là mӝt trong nhӳng nhiӋm
vө cơ bҧn.Nó cũng hӳu dөng trong viӋc nghiên cӭu mang tính pháp lý các tình tiӃt và
viӋc cài đһt các bҧn vá thích hӧp đӇ cho phép phát hiӋn các tҩn công trong tương lai
nhҵm vào các cá nhân cө thӇ hoһc tài nguyên hӋ thӕng.
Phát hiӋn xâm nhұp đôi khi có thӇ đưa ra các báo cҧnh sai, ví dө nhӳng vҩn đӅ xҧy ra do
trөc trһc vӅ giao diӋn mҥng hoһc viӋc gӱi phҫn mô tҧ các tҩn công hoһc các chӳ ký thông
qua mail.

2. Kin trúc ca h thng phát hin xâm nhp IDS

KiӃn trúc cӫa hӋ thӕng IDS bao gӗm các thành phҫn chính: thành phҫn thu thұp gói tin
(information collection), thành phҫn phân tích gói tin(Dectection), thành phҫn phҧn hӗi
(respontion) nӃu gói tin đó đưӧc phát hiӋn là mӝt tҩn công cӫa tin tһc. Trong ba thành
phҫn này thì thành phҫn phân tích gói tin là quan trӑng nhҩt và ӣ thành phҫn này bӝ cҧm
biӃn đóng vai trò quyӃt đӏnh nên chúng ta sӁ đi vào phân tích bӝ cҧm biӃn đӇ hiӇu rõ hơn
kiӃn trúc cӫa hӋ thӕng phát hiӋn xâm nhұp là như thӃ nào.
Bӝ cҧm biӃn đưӧc tích hӧp vӟi thành phҫn sưu tұp dӳ liӋu ± mӝt bӝ tҥo sӵ kiӋn.Cách sưu
tұp này đưӧc xác đӏnh bӣi chính sách tҥo sӵ kiӋn đӇ đӏnh nghĩa chӃ đӝ lӑc thông tin sӵ
kiӋn.Bӝ tҥo sӵ kiӋn (hӋ điӅu hành, mҥng, ӭng dөng) cung cҩp mӝt sӕ chính sách thích


æ
hӧp cho các sӵ kiӋn, có thӇ là mӝt bҧn ghi các sӵ kiӋn cӫa hӋ thӕng hoһc các gói mҥng.Sӕ
chính sách này cùng vӟi thông tin chính sách có thӇ đưӧc lưu trong hӋ thӕng đưӧc bҧo vӋ
hoһc bên ngoài.Trong trưӡng hӧp nào đó, ví dө khi luӗng dӳ liӋu sӵ kiӋn đưӧc truyӅn tҧi
trӵc tiӃp đӃn bӝ phân tích mà không có sӵ lưu dӳ liӋu nào đưӧc thӵc hiӋn.ĐiӅu này cũng
liên quan mӝt chút nào đó đӃn các gói mҥng.

Vai trò cӫa bӝ cҧm biӃn là dùng đӇ lӑc thông tin và loҥi bӓ dӳ liӋu không tương thích đҥt
đưӧc tӯ các sӵ kiӋn liên quan vӟi hӋ thӕng bҧo vӋ, vì vұy có thӇ phát hiӋn đưӧc các hành
đӝng nghi ngӡ.Bӝ phân tích sӱ dөng cơ sӣ dӳ liӋu chính sách phát hiӋn cho mөc này.
Ngoài ra còn có các thành phҫn: dҩu hiӋu tҩn công, profile hành vi thông thưӡng, các
tham sӕ cҫn thiӃt (ví dө: các ngưӥng). Thêm vào đó, cơ sӣ dӳ liӋu giӳ các tham sӕ cҩu
hình, gӗm có các chӃ đӝ truyӅn thông vӟi module đáp trҧ.Bӝ cҧm biӃn cũng có cơ sӣ dӳ
liӋu cӫa riêng nó, gӗm dӳ liӋu lưu vӅ các xâm phҥm phӭc tҥp tiӅm ҭn (tҥo ra tӯ nhiӅu
hành đӝng khác nhau).
IDS có thӇ đưӧc sҳp đһt tұp trung (ví dө như đưӧc tích hӧp vào trong tưӡng lӱa) hoһc
phân tán.Mӝt IDS phân tán gӗm nhiӅu IDS khác nhau trên mӝt mҥng lӟn, tҩt cҧ chúng
truyӅn thông vӟi nhau. NhiӅu hӋ thӕng tinh vi đi theo nguyên lý cҩu trúc mӝt tác nhân,
nơi các module nhӓ đưӧc tә chӭc trên mӝt host trong mҥng đưӧc bҧo vӋ.
Vai trò cӫa tác nhân là đӇ kiӇm tra và lӑc tҩt cҧ các hành đӝng bên trong vùng đưӧc bҧo
vӋ và phө thuӝc vào phương pháp đưӧc đưa ra ± tҥo phân tích bưӟc đҫu và thұm chí đҧm
trách cҧ hành đӝng đáp trҧ.Mҥng các tác nhân hӧp tác báo cáo đӃn máy chӫ phân tích

ï0
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 41

trung tâm là mӝt trong nhӳng thành phҫn quan trӑng cӫa IDS. DIDS có thӇ sӱ dөng nhiӅu
công cө phân tích tinh vi hơn, đһc biӋt đưӧc trang bӏ sӵ phát hiӋn các tҩn công phân tán.
Các vai trò khác cӫa tác nhân liên quan đӃn khҧ năng lưu đӝng và tính roaming cӫa nó
trong các vӏ trí vұt lý.Thêm vào đó, các tác nhân có thӇ đһc biӋt dành cho viӋc phát hiӋn
dҩu hiӋu tҩn công đã biӃt nào đó.Đây là mӝt hӋ sӕ quyӃt đӏnh khi nói đӃn nghĩa vө bҧo vӋ
liên quan đӃn các kiӇu tҩn công mӟi.
Giҧi pháp kiӃn trúc đa tác nhân đưӧc đưa ra năm 1994 là AAFID (các tác nhân tӵ trӏ cho
viӋc phát hiӋn xâm phҥm). Nó sӱ dөng các tác nhân đӇ kiӇm tra mӝt khía cҥnh nào đó vӅ
các hành vi hӋ thӕng ӣ mӝt thӡi điӇm nào đó. Ví dө: mӝt tác nhân có thӇ cho biӃt mӝt sӕ
không bình thưӡng các telnet session bên trong hӋ thӕng nó kiӇm tra. Tác nhân có khҧ
năng đưa ra mӝt cҧnh báo khi phát hiӋn mӝt sӵ kiӋn khҧ nghi.Các tác nhân có thӇ đưӧc
nhái và thay đәi bên trong các hӋ thӕng khác (tính năng tӵ trӏ). Mӝt phҫn trong các tác
nhân, hӋ thӕng có thӇ có các bӝ phұn thu phát đӇ kiӇm tra tҩt cҧ các hành đӝng đưӧc kiӇm
soát bӣi các tác nhân ӣ mӝt host cө thӇ nào đó. Các bӝ thu nhұn luôn luôn gӱi các kӃt quҧ
hoҥt đӝng cӫa chúng đӃn bӝ kiӇm tra duy nhҩt. Các bӝ kiӇm tra nhұn thông tin tӯ các
mҥng (không chӫ tӯ mӝt host), điӅu đó có nghĩa là chúng có thӇ tương quan vӟi thông tin
phân tán. Thêm vào đó mӝt sӕ bӝ lӑc có thӇ đưӧc đưa ra đӇ chӑn lӑc và thu thұp dӳ liӋu.

Ngoài ra còn có 1 sӕ điӇm chú ý sau:

ï1
- KiӃn trúc, vӏ trí đһt hӋ thӕng IDS: tùy thuӝc vào quy mô tә chӭc cӫa doanh nghiӋp cũng
như mөc đích sӱ dөng hӋ thӕng IDS cӫa doanh nghiӋp.
- ChiӃn lưӧc điӅu khiӇn: là sӵ mô tҧ rõ ràng cho mӛi hӋ thӕng IDS vӅ viӋc kiӇm soát ,
kiӇm tra thông tin đҫu vào đҫu ra:
+ ChiӃn lưӧc tұp trung: là viӋc điӅu khiӇn trӵc tiӃp các thao tác như kiӇm tra, phát hiӋn,
phân tích, đáp trҧ, báo cáo tӯ vӏ trí trung tâm:
+Phân thành nhiӅu thành phҫn: Phát hiӋn, kiӇm tra tӯ các vӏ trí thành phҫn rӗi vӅ báo cáo
vӅ vӏ trí trung tâm.
+Phân phӕi: Mӛi vùng sӁ có nhӳng trung tâm đҥi diӋn cho trung tâm chính trӵc tiӃp điӅu
khiӇn các thao tác giám sát, kiӇm tra báo cáo.

II.PHƯƠNG ›HӬC PHÁ› HIӊN

1. Msse ± based system


HӋ misuse-based có thӇ phân chia thành hai loҥi dӵa trên cơ sӣ dӳ liӋu vӅ kiӇu tҩn công,
đó là knowledge-based và signature-based.
Misuse-based system vӟi cơ sӣ dӳ liӋu !;! lưu dӳ thông tin vӅ các dҥng tҩn
công. Dӳ liӋu kiӇm kê đưӧc thu thұp bӣi IDS đӇ so sánh vӟi nӝi dung cӫa cơ sӣ dӳ liӋu,
và nӃu thҩy có sӵ giӕng nhau thì tҥo ra cҧnh báo. Sӵ kiӋn không trùng vӟi bҩt cӭ dҥng tҩn
công nào thì đưӧc coi là nhӳng hành đӝng chính đáng. Lӧi thӃ cӫa mô hình này là chúng
ít khi tҥo ra cҧnh báo sai do dӵa trên mô tҧ chi tiӃt vӅ kiӇu tҩn công. Tuy nhiên mô hình
này có điӇm yӃu, trưӟc tiên vӟi sӕ lưӧng kiӇu tҩn công đa dҥng vӟi nhiӅu lӛ hәng khác
nhau theo thӡi gian sӁ làm cơ sӣ dӳ liӋu trӣ nên quá lӟn, gây khó khăn trong viӋc phân
tích, thêm nӳa chúng chӍ có thӇ phát hiӋn đưӧc các kiӇu tҩn công đã biӃt trưӟc nên cҫn
phҧi đưӧc cұp nhұt thưӡng xuyên khi phát hiӋn ra nhӳng kiӇu tҩn công và lӛ hәng mӟi.

Match ?

Audit Data Knowledge Base


Attack

ï2
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 43

!<!78
TiӃp theo là hӋ :;!, là hӋ sӱ dөng đӏnh nghĩa trӯu tưӧng đӇ mô tҧ vӅ tҩn
công gӑi là dҩu hiӋu. Dҩu hiӋu bao gӗm mӝt nhóm các thông tin cҫn thiӃt đӇ mô tҧ kiӇu
tҩn công. Ví dө như hӋ network IDS có thӇ lưu trӳ trong cơ sӣ dӳ liӋu nӝi dung các gói
tin có liên quan đӃn kiӇu tҩn công đã biӃt. Thưӡng thì dҩu hiӋu đưӧc lưu ӣ dҥng cho phép
so sánh trӵc tiӃp vӟi thông tin có trong chuӛi sӵ kiӋn. Trong quá trình xӱ lý, sӵ kiӋn đưӧc
so sánh vӟi các mөc trong file dҩu hiӋu, nӃu thҩy có sӵ giӕng nhau thì hӋ sӁ tҥo ra cҧnh
báo.
Signature-based system hiӋn nay rҩt thông dөng vì chúng dӉ phát triӇn, cho phҧn hӗi
chính xác vӅ cҧnh báo, và thưӡng yêu cҫu ít tài nguyên tính toán. Tuy nhiên, chúng có
nhӳng điӇm yӃu sau:
ÍÊ Mô tҧ vӅ cuӝc tҩn công thưӡng ӣ mӭc đӝ thҩp, khó hiӇu.
ÍÊ Mӛi cuӝc tҩn công hay biӃn thӇ cӫa nó đӅu cҫn thêm dҩu hiӋu đưa vào cơ sӣ dӳ
liӋu, nên kích cӥ cӫa nó sӁ trӣ nên rҩt lӟn.
ÍÊ Dҩu hiӋu càng cө thӇ, thì càng tҥo ra ít cҧnh báo nhҫm, nhưng càng khó phát hiӋn
nhӳng biӃn thӇ cӫa nó.
Ví dө quen thuӝc vӅ signature-based là Snort, EMERALD và nhiӅu sҧn phҭm thương mҥi
khác.
Có rҩt nhiӅu kӻ thuұt đưӧc sӱ dөng đӇ phát hiӋn dùng sai, chúng có sӵ khác biӋt cơ bҧn
vӅ trҥng thái bҧo dưӥng (và sӵ quan trӑng cӫa đһc tính này vӟi hӋ phát hiӋn xâm nhұp trái
phép).
:  : coi các sӵ kiӋn là đӝc lұp vӟi nhau, khi viӋc xӱ lý sӵ kiӋn hiӋn tҥi đã
hoàn tҩt thì thông tin liên quan đӃn sӵ kiӋn đó sӁ bӏ hӫy đi. Phương pháp tiӃp cұn này đã
đơn giҧn hóa viӋc thiӃt kӃ hӋ thӕng, đһc biӋt là A±box, vì nó không cҫn phҧi lưu trӳ và
bҧo quҧn thông tin vӅ các hành đӝng trưӟc đây. HӋ stateless thưӡng có hiӋu năng cao đһc
biӋt là tӕc đӝ xӱ lý vì bưӟc phân tích đưӧc giҧm thành viӋc so sánh hành đӝng đó vӟi cơ
sӣ dӳ liӋu, không cҫn phҧi xӱ lý thêm gì nӳa.
Tuy nhiên, hӋ stateless cũng có nhiӅu giӟi hҥn.Trưӟc tiên là nó không có khҧ năng phát
hiӋn các hành đӝng có ý đӗ xҩu bao gӗm chuӛi các hành đӝng khác nhau, vì hӋ này chӍ

xӱ lý tӯng hành đӝng mӝt và không lưu chúng lҥi. Còn nӃu ta đưa dҩu hiӋu vӅ các hành
đӝng có ý đӗ xҩu dӵa trên các bưӟc đҫu tiên cӫa chuӛi, thì có thӇ tҥo ra sӕ lưӧng lӟn các
cҧnh báo nhҫm, vì hành đӝng đó có thӇ là mӝt hành đӝng thông thưӡng, phҧi nҵm trong
chuӛi các hành đӝng khác mӟi có khҧ năng xâm nhұp. ĐiӅu này ngưӧc vӟi lӧi thӃ chính
cӫa hӋ misuse±based IDS.
Hơn nӳa, hӋ stateless có thӇ trӣ thành mөc tiêu cho kiӇu tҩn công nhҵm tҥo ra lưӧng cҧnh
báo lӟn. Các công cө có thӇ phân tích cơ sӣ dӳ liӋu các kiӇu tҩn công và tҥo ra chuӛi các
sӵ kiӋn đưӧc mô tҧ là có ý đӗ xҩu, gây nên ³alert storm´ làm tê liӋt IDS và che dҩu ý đӗ
tҩn công thӵc.
:   : lưu trӳ thông tin vӅ các sӵ kiӋn trong quá khӭ.Vì thӃ, tác đӝng cӫa các
sӵ kiӋn là có liên quan đӃn nhau trong mӝt chuӛi các sӵ kiӋn. Trong khi kiӇu tiӃp cұn này
làm tăng đӝ phӭc tҥp cho hӋ thӕng, đһc biӋt là A±box, nó cho thҩy lӧi thӃ rõ rӋt. Stateful
tool có khҧ năng phát hiӋn đưӧc các cuӝc tҩn công bao gӗm nhiӅu bưӟc, hơn nӳa nó cũng
ít tҥo ra ³alert storm´ như đã nói đӃn ӣ trên vì viӋc tҥo ra các bưӟc cӫa mӝt kiӇu tҩn công
sӁ khó khăn hơn. Tuy nhiên, hӋ thӕng này dӉ bӏ tҩn công bҵng kiӇu tҩn công trҥng thái,
khi kҿ tҩn công làm hӋ IDS phҧi xӱ lý mӝt lưӧng thông tin lӟn, làm giҧm hiӋu năng cӫa
hӋ thӕng.

:78 =4
!.>.?@:= 

ïï
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 45

Mӝt kӻ thuұt đưӧc dùng đӇ mô tҧ kiӇu tҩn công phӭc tҥp là :


    
    trong đó state là trҥng thái tҥm thӡi cӫa hӋ thӕng, thӇ hiӋn giá trӏ vùng
nhӟ cӫa hӋ. Nhӳng hành đӝng có ý đӗ xҩu sӁ chuyӇn trҥng thái cӫa hӋ tӯ trҥng thái an
toàn ban đҫu sang trҥng thái có hҥi cuӕi cùng, thông qua các trҥng thái trung gian. Kӻ
thuұt này yêu cҫu phân tích nhӳng biӃn đәi nhҵm dүn hӋ tӟi trҥng thái nguy hiӇm.IDS sӁ
tìm kiӃm sӵ biӃn đәi đó, vì thӃ hӋ này thuӝc dҥng stateful.Mô hình chuyӇn đәi trҥng thái
này có khҧ năng diӉn tҧ rҩt tӕt các dҥng tҩn công, kӇ cҧ viӋc mô tҧ bҵng đӗ hӑa. Trong
thӵc tӃ, các kiӇu tҩn công theo nhiӅu bưӟc rҩt phù hӧp đӇ mô tҧ bҵng mô hình chuyӇn đәi
trҥng thái. Nó cũng cung cҩp phҧn hӗi rҩt chi tiӃt vӅ cҧnh báo, vì toàn bӝ chuӛi hành
đӝng gây cҧnh báo có thӇ đưӧc cung cҩp.Hơn nӳa, nó cho phép triӇn khai phương thӭc
đӕi phó trưӟc khi cuӝc tҩn công đi đӃn bưӟc cuӕi cùng, điӅu này hiӋu quҧ hơn là chӍ phát
hiӋn ra cuӝc tҩn công.
ĐiӇm bҩt lӧi chính cӫa kӻ thuұt chuyӇn đәi trҥng thái là nó yêu cҫu khҧ năng tính toán
cao nӃu hӋ thӕng cҫn theo dõi nhiӅu cuӝc tҩn công cùng lúc.

2. Anomaly ± based system


Anomaly±based system dӵa trên giҧ thiӃt là nhӳng hành đӝng không bình thưӡng là có ý
đӗ xҩu, do đó trưӟc tiên hӋ cҫn xây dӵng mүu hành đӝng bình thưӡng cӫa hӋ thӕng rӗi
mӟi xác đӏnh các hành đӝng không bình thưӡng (như nhӳng hành đӝng không phù hӧp
vӟi mүu hành đӝng đã cho).

Statistically Anomalous ?

Audit Data System Profile Attack

&);!78
Lӧi thӃ cӫa hӋ thӕng này là nó có thӇ phát hiӋn đưӧc nhӳng kiӇu tҩn công chưa biӃt
trưӟc. Tuy nhiên, hӋ thӕng này lҥi sinh ra nhiӅu cҧnh báo sai do đӏnh nghĩa quá chung vӅ
cuӝc tҩn công. Thӕng kê cho thҩy trong hӋ thӕng này, hҫu hӃt các cҧnh báo là cҧnh báo
sai, trong đó có rҩt nhiӅu cҧnh báo là tӯ nhӳng hành đӝng bình thưӡng, chӍ có mӝt vài

ïý
hành đӝng là có ý đӗ xҩu, vҩn đӅ là ӣ chӛ hҫu hӃt các hӋ thӕng đӅu có ít khҧ năng giӟi
hҥn các cҧnh báo nhҫm đó.
Nghiên cӭu đã chӭng minh rҵng hҫu hӃt các hӋ thӕng có đһc điӇm chung là tính đa dҥng
và thay đәi. Hơn nӳa, sӵ nhұp nhҵng cӫa giao thӭc tҫng dưӟi và sӵ khác biӋt cӫa các ӭng
dөng làm viӋc phát hiӋn các hành vi không bình thưӡng trong mӝt môi trưӡng nhҩt đӏnh
là rҩt khó, vì sӵ không bình thưӡng là đһc tính cӫa môi trưӡng.
Cuӕi cùng, mӝt vài kiӇu tҩn công mӟi có khҧ năng giҧ mҥo các hành đӝng hӧp pháp và
có thӇ không bӏ phát hiӋn. Vì thӃ ta có nhӳng nghiên cӭu vӅ các hӋ anomaly ± based IDS
chuyên sâu và có thӇ ӭng dөng đưӧc vào viӋc phát hiӋn xâm nhұp trái phép trong hӋ IDS.

III.Phân loҥ các dҩ h

1.Phát hn dҩ h không bình thưӡng


HӋ thӕng phát hiӋn xâm phҥm phҧi có khҧ năng phân biӋt giӳa các hoҥt đӝng thông
thưӡng cӫa ngưӡi dùng và hoҥt đӝng bҩt thưӡng đӇ tìm ra đưӧc các tҩn công nguy hiӇm
kӏp thӡi. Mһc dù vұy, viӋc dӏch các hành vi ngưӡi dùng (hoһc session hӋ thӕng ngưӡi
dùng hoàn chӍnh) trong mӝt quyӃt đӏnh liên quan đӃn bҧo mұt phù hӧp thưӡng không đơn
giҧn ± nhiӅu hành vi không đưӧc dӵ đӏnh trưӟc và không rõ ràng (Hình 2). ĐӇ phân loҥi
các hành đӝng, IDS phҧi lӧi dөng phương pháp phát hiӋn dӏ thưӡng, đôi khi là hành vi cơ
bҧn hoһc các dҩu hiӋu tҩn công,« mӝt thiӃt bӏ mô tҧ hành vi bҩt thưӡng đã biӃt (phát
hiӋn dҩu hiӋu) cũng đưӧc gӑi là kiӃn thӭc cơ bҧn.

2.Các mү h nh v thông thưӡng phát hn bҩt thưӡng


Các mүu hành vi thông thưӡng rҩt hӳu ích trong viӋc dӵ đoán ngưӡi dùng và hành vi hӋ
thӕng. Do đó các bӝ phát hiӋn bҩt thưӡng xây dӵng profile thӇ hiӋn viӋc sӱ dөng thông
thưӡng và sau đó sӱ dөng dӳ liӋu hành vi thông thưӡng đӇ phát hiӋn sӵ không hӧp lӋ
giӳa các profile và nhұn ra tҩn công có thӇ.
ĐӇ hӧp lý vӟi các profile sӵ kiӋn, hӋ thӕng bӏ yêu cҫu phҧi tҥo ra profile ngưӡi dùng ban
đҫu đӇ ³đào tҥo´ hӋ thӕng quan tâm đӃn sӵ hӧp pháp hóa hành vi ngưӡi dùng. Có mӝt
vҩn đӅ liên quan đӃn viӋc làm profile ӣ đây đó là: khi hӋ thӕng đưӧc phép ³hӑc´ trên
chính nó, thì nhӳng kҿ xâm nhұp cũng có thӇ đào tҥo hӋ thӕng ӣ điӇm này, nơi mà các
ï•
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 47

hành vi xâm phҥm trưӟc trӣ thành hành vi thông thưӡng. Mӝt profile không tương thích
sӁ có thӇ đưӧc phát hiӋn tҩt cҧ các hoҥt đӝng xâm nhұp có thӇ. Ngoài ra, còn có mӝt sӵ
cҫn thiӃt nӳa đó là nâng cҩp profile và ³đào tҥo´ hӋ thӕng, mӝt nhiӋm vө khó khăn và tӕn
thӡi gian.
Cho mӝt tұp các profile hành vi thông thưӡng, mӑi thӭ không hӧp vӟi profile đưӧc lưu sӁ
đưӧc coi như là mӝt hoҥt đӝng nghi ngӡ. Do đó, các hӋ thӕng này đưӧc đһc trưng bӣi
hiӋu quҧ phát hiӋn rҩt cao (chúng có thӇ nhұn ra nhiӅu tҩn công mһc dù tҩn công đó là
mӟi có trong hӋ thӕng), tuy nhiên chúng lҥi có hiӋn tưӧng là tҥo các cҧnh báo sai vӅ mӝt
sӕ vҩn đӅ.
Ưu điӇm cӫa phương pháp phát hiӋn bҩt thưӡng này là: có khҧ năng phát hiӋn các tҩn
công mӟi khi có sӵ xâm nhұp; các vҩn đӅ không bình thưӡng đưӧc nhұn ra không cҫn
nguyên nhân bên trong cӫa chúng và các tính cách; ít phө thuӝc vào IDS đӕi vӟi môi
trưӡng hoҥt đӝng (khi so sánh vӟi các hӋ thӕng dӵa vào dҩu hiӋu); khҧ năng phát hiӋn sӵ
lҥm dөng quyӅn cӫa ngưӡi dùng.
Nhưӧc điӇm lӟn nhҩt cӫa phương pháp này là: Xác suҩt cҧnh báo sai nhiӅu. HiӋu suҩt hӋ
thӕng không đưӧc kiӇm tra trong suӕt quá trình xây dӵng profile và giai đoҥn đào tҥo. Do
đó, tҩt cҧ các hoҥt đӝng ngưӡi dùng bӏ bӓ qua trong suӕt giai đoҥn này sӁ không hӧp lý.
Các hành vi ngưӡi dùng có thӇ thay đәi theo thӡi gian, do đó cҫn phҧi có mӝt sӵ nâng cҩp
liên tөc đӕi vӟi cơ sӣ dӳ liӋu profile hành vi thông thưӡng.Sӵ cҫn thiӃt vӅ đào tҥo hӋ
thӕng khi thay đәi hành vi sӁ làm hӋ thӕng không có đưӧc phát hiӋn bҩt thưӡng trong giai
đoҥn đào tҥo (lӛi tiêu cӵc).

.Các dҩ h có h nh v xҩ ± phát hn dҩ h


Thông tin xӱ lý hӋ thӕng trong các hành vi bҩt thưӡng và không an toàn (dҩu hiӋu tҩn
công ± dӵa vào các hӋ thӕng) thưӡng đưӧc sӱ dөng trong các hӋ thӕng phát hiӋn xâm
nhұp thӡi gian thӵc (vì sӵ phӭc tҥp trong tính toán cӫa chúng không cao).
Các dҩu hiӋu hành vi xҩu đưӧc chia thành hai loҥi:
ÍÊ Các dҩu hiӋu tҩn công ± chúng miêu tҧ các mүu hoҥt đӝng có thӇ gây ra mӕi đe
dӑa vӅ bҧo mұt. ĐiӇn hình, chúng đưӧc thӇ hiӋn khi mӕi quan hӋ phө thuӝc thӡi
gian giӳa mӝt loҥt các hoҥt đӝng có thӇ kӃt hӧp lҥi vӟi các hoҥt đӝng trung tính.
ïÔ
ÍÊ Các chuӛi văn bҧn đưӧc chӑn ± các dҩu hiӋu hӧp vӟi các chuӛi văn bҧn đang tìm
kiӃm các hoҥt đӝng nghi ngӡ.
Bҩt kǤ hoҥt đӝng nào không rõ ràng đӅu có thӇ bӏ xem xét và ngăn cҧn. Do đó, đӝ chính
xác cӫa chúng rҩt cao (sӕ báo cҧnh sai thҩp). Tuy nhiên chúng không thӵc hiӋn mӝt cách
hoàn toàn và không ngăn cҧn hoàn toàn các tҩn công mӟi.
Có hai phương pháp chính đã kӃt hӧp sӵ phát hiӋn dҩu hiӋu này:
ÍÊ ViӋc kiӇm tra vҩn đӅ ӣ các gói lӟp thҩp hơn ± nhiӅu loҥi tҩn công khai thác lӛ
hәng trong các gói IP, TCP, UDP hoһc ICMP. Vӟi kiӇm tra đơn giҧn vӅ tұp các cӡ
trên gói đһc trưng hoàn toàn có thӇ phát hiӋn ra gói nào hӧp lӋ, gói nào không.
Khó khăn ӣ đây có thӇ là phҧi mӣ gói và lҳp ráp chúng lҥi. Tương tӵ, mӝt sӕ vҩn
đӅ khác có thӇ liên quan vӟi lӟp TCP/IP cӫa hӋ thӕng đang đưӧc bҧo vӋ. Thưӡng
thì kҿ tҩn công hay sӱ dөng cách mӣ các gói đӇ băng qua đưӧc nhiӅu công cө IDS.
ÍÊ KiӇm tra giao thӭc lӟp ӭng dөng ± nhiӅu loҥi tҩn công (WinNuke) khai thác các lӛ
hәng chương trình, ví dө dӳ liӋu đһc biӋt đã gӱi đӃn mӝt kӃt nӕi mҥng đã đưӧc
thành lұp. ĐӇ phát hiӋn có hiӋu quҧ các tҩn công như vұy, IDS phҧi đưӧc bә sung
nhiӅu giao thӭc lӟp ӭng dөng.
Các phương pháp phát hiӋn dҩu hiӋu có mӝt sӕ ưu điӇm dưӟi đây: tӍ lӋ cҧnh báo sai thҩp,
thuұt toán đơn giҧn, dӉ dàng tҥo cơ sӣ dӳ liӋu dҩu hiӋu tҩn công, dӉ dàng bә sung và tiêu
phí hiӋu suҩt tài nguyên hӋ thӕng tӕi thiӇu.
Mӝt sӕ nhưӧc điӇm:
ÍÊ Khó khăn trong viӋc nâng cҩp các kiӇu tҩn công mӟi.
ÍÊ Chúng không thӇ kӃ thӯa đӇ phát hiӋn các tҩn công mӟi và chưa biӃt. Phҧi nâng
cҩp mӝt cơ sӣ dӳ liӋu dҩu hiӋu tҩn công tương quan vӟi nó.
ÍÊ Sӵ quҧn lý và duy trì mӝt IDS cҫn thiӃt phҧi kӃt hӧp vӟi viӋc phân tích và vá các
lӛ hәng bҧo mұt, đó là mӝt quá trình tӕn kém thӡi gian.
ÍÊ KiӃn thӭc vӅ tҩn công lҥi phө thuӝc vào môi trưӡng hoҥt đông ± vì vұy, IDS dӵa
trên dҩu hiӋu nhӳng hành vi xҩu phҧi đưӧc cҩu hình tuân thӫ nhӳng nguyên tҳc
nghiêm ngһt cӫa nó vӟi hӋ điӅu hành (phiên bҧn, nӅn tҧng, các ӭng dөng đưӧc sӱ
dөng«)

ï`
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 49

ÍÊ Chúng dưӡng như khó quҧn lý các tҩn công bên trong. ĐiӇn hình, sӵ lҥm dөng
quyӅn ngưӡi dùng xác thӵc không thӇ phát hiӋn khi có hoҥt đӝng mã nguy hiӇm
(vì chúng thiӃu thông tin vӅ quyӅn ngưӡi dùng và cҩu trúc dҩu hiӋu tҩn công).
ÍÊ Các sҧn phҭm IDS thương mҥi thưӡng sӱ dөng phương pháp phát hiӋn dҩu hiӋu
cho hai lý do. Trưӟc tiên, nó dӉ dàng hơn trong viӋc cung cҩp dҩu hiӋu liên quan
đӃn tҩn công đã biӃt và đӇ gán tên đӕi vӟi mӝt tҩn công. Thӭ hai, cơ sӣ dӳ liӋu dҩu
hiӋu tҩn công đưӧc nâng cҩp thưӡng xuyên (bҵng cách thêm các dҩu hiӋu tҩn công
mӟi phát hiӋn).

ï.›ương qan các mү tham sӕ


Phương pháp phát hiӋn xâm nhұp khá khôn ngoan hơn các phương pháp trưӟc. Nó đưӧc
sinh ra do nhu cҫu thӵc tӃ rҵng, các quҧn trӏ viên kiӇm tra các hӋ thӕng khác nhau và các
thuӝc tính mҥng (không cҫn nhҳm đӃn các vҩn đӅ bҧo mұt). Thông tin đҥt đưӧc trong
cách này có mӝt môi trưӡng cө thӇ không thay đәi. Phương pháp này liên quan đӃn sӱ
dөng kinh nghiӋm hoҥt đӝng hàng ngày cӫa các quҧn trӏ viên như các vҩn đӅ cơ bҧn cho
viӋc phát hiӋn dҩu hiӋu bҩt thưӡng.Nó có thӇ đưӧc xem như trưӡng hӧp đһc biӋt cӫa
phương pháp Profile thông thưӡng.Sӵ khác nhau ӣ đây nҵm ӣ chӛ trong thӵc tӃ, mӝt
profile là mӝt phҫn hiӇu biӃt cӫa con ngưӡi.
Đây là mӝt kӻ thuұt mҥnh, bӡi vì nó cho phép xâm nhұp dӵa trên các kiӇu tҩn công
không biӃt. Hoҥt đӝng hӋ thӕng có thӇ phát hiӋn các thay đәi tinh vi không rõ ràng đӕi
vӟi chính hoҥt đӝng đó. Nó kӃ thӯa nhӳng nhưӧc điӇm trong thӵc tӃ là con ngưӡi chӍ
hiӇu mӝt phҫn giӟi hҥn thông tin tҥi mӝt thӡi điӇm, điӅu đó có nghĩa là các tҩn công nào
đó có thӇ vưӧt qua mà không bӏ phát hiӋn.

IV.CÁCH PHÁ› HIӊN CÁC IӆU ›


N CÔNG ›HÔNG DӨNG CӪA IDS

1. Denal of Servce attack (›ҩn công tӯ chӕ dӏch vө)


Cho dù đa dҥng vӅ kích cӥ và hình dҥng, tӯ subtle malformed packet đӃn full-blown
packet storm, Denial of service (DoS) attack có mөc đích chung là đóng băng hay chһn

ïæ
đӭng tài nguyên cӫa hӋ thӕng đích. Cuӕi cùng, mөc tiêu trӣ nên không thӇ tiӃp cұn và
không thӇ trҧ lӡi.DoS tҩn công vào các mөc tiêu bao gӗm 3 dҥng là mҥng, hӋ thӕng và
ӭng dөng.
ÍÊ Network flooding bao gӗm SYN flood, Ping flood hay multi echo request,«
ÍÊ Phá hoҥi hӋ thӕng, thiӃt bӏ bao gӗm Ping of Death, Teardrop, Bonk, LAND, các
kiӇu tҩn công nhҵm lӧi dөng lӛ hәng trên hӋ điӅu hành nhҵm phá hoҥi, gây quá tҧi
hӋ thӕng. Sӵ kiӋn này có thӇ xҧy ra bҵng cách gӱi gói tin có đӏnh dҥng khác
thưӡng tӟi hӋ thӕng và thiӃt bӏ, chúng có thӇ đưӧc tҥo ra bҵng các công cө tҩn
công đưӧc lұp trình trưӟc.
ÍÊ Phá hoҥi, gây quá tҧi ӭng dөng bao gӗm các kӻ thuұt phá hoҥi và gây quá tҧi hӋ
thӕng bҵng cách lӧi cөng điӇm yӃu trên ӭng dөng, cơ sӣ dӳ liӋu, email, trang
web,« Ví dө như mӝt email rҩt dài hay mӝt sӕ lưӧng lӟn email, hay mӝt sӕ lưӧng
lӟn yêu cҫu tӟi trang web có thӇ gây quá tҧi cho server cӫa các ӭng dөng đó.
V = 
A78B Mӝt firewall dҥng proxy rҩt hiӋu quҧ đӇ ngăn chһn các gói tin không
mong muӕn tӯ bên ngoài, tuy nhiên Network IDS có thӇ phát hiӋn đưӧc các tҩn công
dҥng gói tin.

2. Scannng v Probe (Qét v thăm dò)


Bӝ quét và thăm dò tӵ đӝng tìm kiӃm hӋ thӕng trên mҥng đӇ xác đӏnh điӇm yӃu. Tuy các
công cө này đưӧc thiӃt kӃ cho mөc đích phân tích đӇ phòng ngӯa, nhưng chúng có thӇ
đưӧc sӱ dөng đӇ gây hҥi cho hӋ thӕng. Các công cө quét và thăm dò bao gӗm SATAN,
ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon. ViӋc thăm dò
có thӇ đưӧc thӵc hiӋn bҵng cách  đӃn hӋ thӕng cũng như kiӇm tra các cәng TCP và
UDP đӇ phát hiӋn ra ӭng dөng có nhӳng lӛi đã đưӧc biӃt đӃn. Vì vұy các công cө này có
thӇ là công cө đҳc lӵc cho mөc đích xâm nhұp.
V = 
A78B Network-based IDS có thӇ phát hiӋn các hành đӝng nguy hiӇm trưӟc
khi chúng xҧy ra. YӃu tӕ ³time-to-response´ rҩt quan trӑng trong trưӡng hӧp này đӇ có
thӇ chӕng các kiӇu tҩn công như vұy trưӟc khi có thiӋt hҥi.Host-based IDS cũng có thӇ có
tác dөng đӕi vӟi kiӇu tҩn công này, nhưng không hiӋu quҧ bҵng giҧi pháp dӵa trên mҥng.

ý0
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 51

'=
&(
C:D:

. Password attack (›ҩn công v o mұt mã)


Có 3 phương thӭc tiӃp cұn đӕi vӟi kiӇu tҩn công 
. KiӇu dӉ nhұn thҩy nhҩt
là ăn trӝm mұt mã, mang lҥi quyӅn hành và tính linh đӝng cao nhҩt cho kҿ tҩn công có
thӇ truy nhұp tӟi mӑi thông tin tҥi mӑi thành phҫn trong mҥng. Đoán hay bҿ khóa mұt mã
là phương thӭc tiӃp cұn đưӧc gӑi là brute force bҵng cách thӱ nhiӅu mұt mã đӇ mong tìm
đưӧc mұt mã đúng. Vӟi bҿ khóa, kҿ tҩn công cҫn truy nhұp tӟi mұt mã đã đưӧc mã hóa,
hay file chӭa mұt mã đã mã hóa, kҿ tҩn công sӱ dөng chương trình đoán nhiӅu mã vӟi
thuұt toán mã hóa có thӇ sӱ dөng đưӧc đӇ xác đӏnh mã đúng. Vӟi tӕc đӝ máy tính hiӋn
nay, viӋc bҿ khóa là rҩt hiӋu quҧ trong trưӡng hӧp mұt mã là tӯ có nghĩa (trong tӯ điӇn),
bҩt cӭ mã nào nhӓ hơn 6 ký tӵ, tên thông dөng và các phép hoán vӏ. HiӋn nay, Internet
cung cҩp rҩt nhiӅu chương trình ³password hackerware´ có thӇ tҧi vӅ và sӱ dөng dӉ
dàng.Các công cө trên cũng đưӧc các kӻ sư sӱ dөng vӟi nhӳng mөc đích tӕt như tìm lҥi
mұt mã, hay tìm kiӃm các thông tin cҫn thiӃt cho quá trình điӅu tra tӝi phҥm«

ý1
ÍÊ Ta có ví dө vӅ trӝm mұt mã như nghe trӝm mұt mã gӱi trên mҥng (LOPHT2.0),
gӱi thư, chương trình có kèm keylogger, trojan cho ngưӡi quҧn trӏ; ngoài ra không
thӇ không kӇ tӟi các phương thӭc tҩn công vào yӃu tӕ con ngưӡi như nhìn trӝm,
dùng vũ lӵc ép buӝc,«
ÍÊ Dӵ đoán và bҿ khóa ví dө như: đoán tӯ tên, các thông tin cá nhân, tӯ các tӯ thông
dөng (có thӇ dùng khi biӃt username mà không biӃt mұt mã), sӱ dөng tài khoҧn
khách rӗi chiӃm quyӅn quҧn trӏ; các phương thӭc tҩn công như brute force, đoán
mұt mã đã mã hóa tӯ các tӯ trong tӯ điӇn, ta có mӝt sӕ công cө như LOPHT
Crack, pwldump,«
V = 
A78B Mӝt Network-based IDS có thӇ phát hiӋn và ngăn chһn cӕ gҳng đoán
mã (có thӇ ghi nhұn sau mӝt sӕ lҫn thӱ không thành công), nhưng nó không có hiӋu quҧ
trong viӋc phát hiӋn truy nhұp trái phép tӟi file mã hóa chӭa mұt mã hay chҥy các chương
trình bҿ khóa. Trong khi đó Host-based IDS lҥi rҩt có hiӋu quҧ trong viӋc phát hiӋn viӋc
đoán mұt mã cũng như phát hiӋn truy nhұp trái phép tӟi file chӭa mұt mã.

ï. Prvlegegrabbng (Chm đһc qyӅn)


Khi kҿ tҩn công đã xâm nhұp đưӧc vào hӋ thӕng, chúng sӁ cӕ chiӃm quyӅn truy nhұp.Khi
thành công, chúng đã chiӃm đưӧc hӋ thӕng. Trong hӋ điӅu hành UNIX, điӅu này nghĩa là
trӣ thành ³root´, ӣ Windows NT là ³Administrator´, trên NetWare là ³Supervisor´. Các
câu lӋnh và mã thӵc hiӋn cho kӻ thuұt trên có thӇ kiӃm đưӧc trên Internet, ví dө như khai
thác lӛi tràn bӝ đӋm cӫa hӋ điӅu hành hay phҫn mӅm ӭng dөng đӇ ghi đè các segment vào
bӝ nhӟ.Khi chiӃn thuұt này đưӧc sӱ dөng vӟi chương trình hӋ điӅu hành đһc quyӅn, nó
thưӡng gây lӛi hӓng core, dүn đӃn kҿ tҩn công có thӇ có quyӅn truy cұp ³superuser´.
Dưӟi đây là mӝt sӕ kӻ thuұt thưӡng dùng cho viӋc chiӃm đһc quyӅn:
ÍÊ Đoán hay bҿ khóa cӫa root hay administrator
ÍÊ Gây tràn bӝ đӋm
ÍÊ Khai thác Windows NT registry
ÍÊ Truy nhұp và khai thác console đһc quyӅn
ÍÊ Thăm dò file, scrip hay các lӛi cӫa hӋ điӅu hành và ӭng dөng.
ý2
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 53

V = 
A78B Cҧ Network và Host-based IDS đӅu có thӇ xác đӏnh viӋc thay đәi đһc
quyӅn trái phép ngay lұp tӭc, ӣ cҩp phҫn mӅm, do viӋc đó xҧy ra trên thiӃt bӏ chӫ. Do
Host-based IDS có thӇ tìm kiӃm đưӧc nhӳng ngưӡi dùng không có đһc quyӅn đӝt nhiên
trӣ thành có đһc quyӅn mà không qua hӋ thӕng thông thưӡng, Host-based IDS có thӇ
ngӯng hành đӝng này. Ngoài ra hành đӝng chiӃm đһc quyӅn cӫa hӋ điӅu hành và ӭng
dөng có thӇ đưӧc đӏnh nghĩa trong tұp các dҩu hiӋu tҩn công cӫa Network-based IDS
nhҵm ngăn chһn viӋc tҩn công xҧy ra.

78(!E:C
:
4

ý. Hostle code nserton (C  đһt mã ngy h m)
Mӝt sӕ loҥi tҩn công có thӇ cài đһt mã nguy hiӇm vào hӋ thӕng. Mã này có thӇ lҩy
trӝm dӳ liӋu, gây tӯ chӕi dӏch vө, xóa file, hay tҥo backdoor cho lҫn truy nhұp trái phép
tiӃp theo. Ta có mӝt sӕ ví dө vӅ viӋc cài đһt mã nguy hiӇm sau:
ÍÊ Virus : chương trình hay đoҥn mã mà khi thӵc thi sӁ dүn đӃn mӝt sӕ hành đӝng tӵ
đӝng, có hoһc không có hҥi, nhưng luôn dүn đӃn viӋc tҥo ra bҧn sao cӫa file hӋ
thӕng, file cӫa ӭng dөng hay dӳ liӋu. Virus thưӡng đưӧc xác đӏnh nhӡ vào nhӳng
hành đӝng có hҥi cӫa chúng, có thӇ đưӧc kích hoҥt dӵa trên sӵ kiӋn, ngày,«
ÍÊ Trojan Horse : mӝt chương trình hay đoҥn mã mà khi thӵc thi sӁ dүn đӃn mӝt sӕ
hành đӝng tӵ đӝng, thưӡng có hҥi, nhưng không có mөc đích nhân bҧn. Thưӡng
thì Trojan Horse đưӧc đһt tên hay mô tҧ như mӝt chương trình mà ngưӡi ta muӕn
sӱ dөng, nhưng thưc tӃ chúng kích hoҥt các hành đӝng có thӇ dүn đӃn hӓng file
hay hӋ thӕng.

ÍÊ Backdoor : đây là mӝt loҥi Trojan đһc biӋt thӵc hiӋn viӋc thay thӃ mӝt chương
trình có sҹn bҵng mӝt chương trình cho phép kҿ xâm nhұp truy nhұp đưӧc vào hӋ
thӕng trong tương lai (như ³msgina.dll´ trên Windows NT).
ÍÊ Malicious Apple : đây cũng là mӝt loҥi Trojan, chúng thưӡng là Java hay ActiveX
applet mà ngưӡi dùng có thӇ gһp khi duyӋt các trang web. Applet đó có vҿ như
thӵc hiӋn các chӭc năng bình thưӡng nhưng ҭn trong đó là các hành đӝng nguy
hiӇm như tҧi file lên web site cӫa kҿ tҩn công.
V = 
A78B Cài đһt các phҫn mӅm bҧo mұt có tác dөng chӕng virus và các đoҥn
mã nguy hiӇm lên gateway, server và workstation là phương pháp hiӋu quҧ nhҩt đӇ giҧm
mӭc đӝ nguy hiӇm. Các file quan trӑng đưӧc quҧn lý bҵng Host IDS có thӇ đҧm bҧo rҵng
chương trình và file quan trӑng cӫa hӋ điӅu hành không bӏ điӅu khiӇn. KӃt hӧp vӟi các sӵ
kiӋn khác, IDS có thӇ xác đӏnh đưӧc cӕ gҳng cài đoҥn mã nguy hiӇm, ví dө như nó có thӇ
phát hiӋn đưӧc ai đó đӏnh thay chương trình ghi log bҵng mӝt backdoor. Network-based
IDS cũng có thӇ đưӧc chӍ thӏ đӇ quҧn lý hӋ thӕng và file ҧnh cho mөc đích kiӇm tra tính
toàn vҽn.

•. Cyber vandalsm (H nh đӝng phá hoҥ trên máy móc)


Cyber Vandalism bao gӗm: thay đәi trang web, applet, xóa file, phá block khӣi đӝng và
chương trình hӋ điӅu hành, format ә đĩa.
V = 
A78B Đӕi vӟi giҧi pháp cӫa Host-based IDS, cài đһt và cҩu hình cҭn thұn
có thӇ xác đӏnh đưӧc tҩt cҧ các vҩn đӅ liên quan đӃn cyber vandalism. Ví dө như mӑi thay
đәi đӕi vӟi trang web có thӇ đưӧc ghi lҥi tҥi biên bҧn kiӇm kê cӫa thiӃt bӏ mà trang web
nҵm trên đó.Không chӍ đưӧc cҩu hình đӇ quҧn lý mӑi thay đәi trên trang web, Host-based
IDS còn có thӇ thӵc hiӋn các hành đӝng đӕi phó, là nhӳng hành đӝng đưӧc Security
Administrator cҩu hình.Network-based IDS thì có thӇ sӱ dөng dҩu hiӋu tҩn công đưӧc
đӏnh nghĩa trưӟc đӇ phát hiӋn chính xác viӋc truy nhұp trái phép vào hӋ điӅu hành, ӭng
dөng cũng như xóa file và thay đәi trang web.

ýï
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 55

Ô. Propretary data theft (Ăn trӝm dӳ l qan trӑng)


Mһc dù hơn 80% các cuӝc tҩn công liên quan đӃn thông tin quan trӑng đӅu xҧy ra ngay
trong tә chӭc đó, sӕ các cuӝc tҩn công tӯ bên ngoài đã liên tөc tăng trong mӝt vài năm
qua. Ngoài viӋc tăng cưӡng chính sách bҧo mұt trong hӋ thӕng, các tә chӭc cҫn phҧi xác
đӏnh rҵng viӋc tăng các liên kӃt cũng làm tăng sӵ nguy hiӇm vӟi các dӳ liӋu quan trӑng
như viӋc sao chép dӳ liӋu, nghe trӝm viӋc truyӅn nhҵm lҩy dӳ liӋu quan trӑng.
V = 
A 78B Mô hình Host-based IDS thӵc hiӋn viӋc quҧn lý các dӳ liӋu quan
trӑng có thӇ phát hiӋn các file bӏ sao chép bҩt hӧp pháp. Trong mӝt sӕ trưӡng hӧp IDS có
thӇ dӵa vào biên bҧn cӫa hӋ điӅu hành, nhưng trong nhiӅu trưӡng hӧp viӋc ghi biên bҧn
có chӭa quá nhiӅu overhead (như vӟi Winddows NT).Trong các trưӡng hӧp đó, Host-
based IDS cҫn phҧi thӵc hiӋn viӋc quҧn lý riêng biӋt vӟi các file quan trӑng. Còn
Network-based IDS có thӇ đưӧc chӍnh sӱa đӇ quҧn lý viӋc truy nhұp vào các file quan
trӑng và xác đӏnh viӋc truyӅn thông có chӭa key word. Trong mӝt sӕ trưӡng hӧp rҩt khó
có thӇ phát hiӋn đưӧc mӝt host nghe trӝm trên mҥng, thì phҫn mӅm IDS trên host đó có
thӇ phát hiӋn đưӧc host đã bӏ đһt ӣ trҥng thái ngүu nhiên và đang nghe trӝm viӋc tuyӅn
thông.

`. Frad, waste, abse (Gan lұn, lãng phí v lҥm dөng)


Gian lұn, lãng phí và lҥm dөng tài nguyên máy tính và vҩn đӅ liên quan đӃn kinh tӃ trong
thӡi kǤ hiӋn nay. Gian lұn liên quan đӃn viӋc chuyӇn tiӅn bҩt hӧp pháp, trӝm sӕ credit
card, can thiӋp vào tài khoҧn nhà băng, và thao túng chương trình kiӇm tra viӃt (check
writing). Lãng phí và lҥm dөng xҧy ra khi tài nguyên đưӧc sӱ dөng (tình cӡ hay chӫ đích)
cho các công viӋc đi ngưӧc lҥi vӟi mөc đích cӫa tә chӭc.
V = 
A78B Network-based IDS có thӇ đưӧc thay đәi nhҵm ngăn các URL, tuy
nhiên các chương trình chuyên dөng đӇ ngăn URL có liên hӋ vӟi firewall có thӇ hoҥt
đӝng hiӋu quҧ hơn, có thӇ duy trì mӝt danh sách URL đӝng và chính sách lҥm dөng dӵa
trên USERID. Host-based IDS có thӇ thӵc thi mӝt chính sách do công ty đһt ra, các truy
nhұp trái phép và sӱa đәi file hӋ thӕng có thӇ đưӧc phát hiӋn thông qua host-based IDS
cũng như network-based IDS. Bҩt cӭ thay đәi có thӇ ngay lâp tӭc đưӧc ghi trong biên
bҧn hӋ thӕng, agent có thӇ dӉ dàng theo dõi các hành đӝng đó.

ýý
|784
*:@:$-7

æ. Adt tral tamperng (Can thp v o bên bҧn)


Như đã nói đӃn ӣ trên, hҫu hӃt các thông tin tҥo nên tӯ các hành đӝng cӫa ngưӡi dùng
đưӧc ghi trong các audit trail riêng cӫa hӋ thӕng cӫa doanh nghiӋp. Can thiӋp vào biên
bҧn là cách đưӧc ưa thích đӇ loҥi bӓ hay che dҩu vӃt. Dưӟi đây là các phương thӭc
hacker thưӡng dùng đӇ tҩn công vào audit trail và che dҩu vӃt:
ÍÊ Audit Deletion : xóa biên bҧn, khi đã vào đưӧc hӋ thӕng.
ÍÊ Deactivation : ngӯng tiӃn trình ghi sӵ kiӋn lên audit trail.
ÍÊ Modification : sӱa sӵ kiӋn mà nó ghi nhұn đưӧc trưӟc khi thoát khӓi hӋ thӕng.
ÍÊ Flooding : tҥo ra các sӵ kiӋn làm nhiӉu đӇ ngөy trang cho dҩu vӃt tҩn công.
V = 
A 78B Host-based IDS agent có thӇ quҧn lý viӋc can thiӋp vào biên bҧn
(xóa, ngӯng hay sӱa đәi) và thӵc hiӋn các hành đӝng phù hӧp. Network-based IDS có thӇ
cung cҩp ngӳ cҧnh cҫn thiӃt đӇ phát hiӋn audit trail đã bӏ truy nhұp hay sӱa đәi.

10. Secrty nfrastrctre attack (›ҩn công hҥ tҫng bҧo mұt)


Có nhiӅu loҥi tҩn công can thiӋp vào viӋc điӅu khiӇn cơ bҧn cӫa cơ sӣ hҥ tҫng bҧo mұt,
như tҥo tưӡng lӱa trái phép, chӍnh sӱa tài khoҧn cӫa ngưӡi dùng hay router, hay thay đәi
quyӅn cӫa file. Tҩn công vào cơ sӣ hҥ tҫng cho phép kҿ xâm nhұp có thêm quyӅn truy
nhұp hay tҥo thêm nhiӅu đưӡng xâm nhұp vào hӋ thӕng hay mҥng. Cuӝc tҩn công tҥo ra

ý•
CHƯƠNG II: Hӊ THӔNG PHÁT HIӊN XÂM NHҰP IDS 57

thay đәi bҵng cách truy nhұp trái phép tӟi chӭc năng quҧn trӏ, tìm console quҧn trӏ không
đưӧc chú ý, hay tác đӝng lên ngưӡi quҧn trӏ đӇ thӵc hiӋn hành đӝng nào đó. Trong các
trưӡng hӧp đó rҩt khó có thӇ phân biӋt giӳa mӝt hành đӝng tҩn công và mӝt hành đӝng
cӫa ngưӡi quҧn trӏ mҥng.
V = 
A78B Các hành đӝng quҧn trӏ mҥng thưӡng là đăng nhұp vào audit trail trên
host hay router trên mӝt node lӵa chӑn trên mҥng như SYSLOG trên UNIX. Host-based
IDS có thӇ bҳt giӳ các cuӝc đăng nhұp mà thӵc hiӋn nhӳng hành đӝng như đưa thêm tài
khoҧn có đһc quyӅn, hay router và firewall bӏ thay đәi mӝt cách đáng nghi.Còn network-
based IDS có thӇ cung cҩp ngӳ cҧnh cҫn thiӃt đӇ quҧn lý viӋc lҥm dөng.

ýÔ
CHƯƠNG III : ӬNG DӨNG

I.Giӟi thiӋu vӅ Snort IDS

1.G th
Snort là mӝt hӋ thӕng phát hiӋn xâm nhұp mҥng (NIDS) mã nguӗn mӣ miӉn phí. NIDS là
mӝt kiӇu cӫa hӋ thӕng phát hiӋn xâm nhұp (IDS), đưӧc sӱ dөng đӇ quét dӳ liӋu di chuyӇn
trên mҥng. Cũng có các hӋ thӕng phát hiӋn xâm nhұp host-based, đưӧc cài đһt trên mӝt
ost cө thӇ và chӍ đӇ phát hiӋn các sӵ tҩn công nhҳm đӃn host đó. Mһc dù tҩt cҧ các
phương pháp phát hiӋn xâm nhұp vүn còn mӟi nhưng Snort đưӧc đánh giá là hӋ thӕng tӕt
nhҩt hiӋn nay.
Dӳ liӋu đưӧc thu thұp và phân tích bӣi Snort. Sau đó, Snort lưu trӳ dӳ liӋu trong cơ sӣ dӳ
liӋu MySQL bҵng cách dùng output plug-in. Web server Apache vӟi ACID, PHP, thư
viӋn GD và PHPLOT sӁ biӇu diӉn dӳ liӋu này trên trình duyӋt khi mӝt ngưӡi dùng kӃt nӕi
đӃnserver.
Ngưӡi dùng có tҥo nhiӅu kiӇu truy vҩn khác nhau đӇ phân tích dӳ liӋu. Snort chӫ yӃu là
mӝt IDS dӵa trên luұt, tuy nhiên các input plug-in cũng tӗn tҥi đӇ phát hiӋn sӵ bҩt thưӡng
trong các header cӫa giao thӭc.
Snort sӱ dөng các luұt đưӧc lưu trӳ trong các file text, có thӇ đưӧc chӍnh sӱa bӣi ngưӡi
quҧn trӏ. Các luұt đưӧc nhóm thành các kiӇu. Các luұt thuӝc vӅ mӛi loҥi đưӧc lưu trong
các file khác nhau. File cҩu hình chính cӫa Snort là snort.conf. Snort đӑc nhӳng luұt này
vào lúc khӣi tҥo và xây dӵng cҩu trúc dӳ liӋu đӇ cung cҩp các luұt đӇ bҳt giӳ dӳ liӋu. Tìm
ra các dҩu hiӋu và sӱ dөng chúng trong các luұt là mӝt vҩn đӅ đòi hӓi sӵ tinh tӃ, vì bҥn
càng sӱ dөng nhiӅu luұt thì năng lӵc xӱ lý càng đưӧc đòi hӓi đӇ thu thұp dӳ liӋu trong
thӵc tӃ. Snort có mӝt tұp hӧp các luұt đưӧc đӏnh nghĩa trưӟc đӇ phát hiӋn các hành đӝng
xâm nhұp và bҥn cũng có thӇ thêm vào các luұt cӫa chính bҥn.Bҥn cũng có thӇ xóa mӝt
vài luұt đã đưӧc tҥo trưӟc đӇ tránh viӋc báo đӝng sai.

ý`
CHƯƠNG III : ӬNG DӨNG 59

2.Các th nh phҫn cӫa Snort:


Snort đưӧc chia thành nhiӅu thành phҫn. Nhӳng thành phҫn này làm viӋc vӟi nhau đӇ
phát hiӋn các cách tҩn công cө thӇ và tҥo ra output theo mӝt đӏnh dҥng đưӧc đòi hӓi. Mӝt
IDS dӵa trên Snort bao gӗm các thành phҫn chính sau đây:
ÍÊ Packet Decoder: Bӝ giҧi mã gói
ÍÊ Preprocessor: Bӝ tiӅn xӱ lý.
ÍÊ Dectection Engine: Bӝ máy phát hiӋn.
ÍÊ Logging và Alerting System: HӋ thông ghi nhұn và cҧnh báo.
ÍÊ Output Modules: Các Modules xuҩt

Packet Decoder (Bӝ phұn gҧ mã gó)


PacketdecoderlҩynhӳnggóitӯnhӳngloҥikhácnhaucӫagiaodiӋnmҥngvàchuҭnbӏ đưa
chúng vào preprocessorhoһc gӱi nó qua detection engine.
Preprocessor (Bӝ phұn xӱ lí trưc)
Preprocessorslànhӳngthànhphҫnhaynhӳngplug-inđưӧcsӱdөngcùngvӟiSnortđӇ
sҳpxӃpvàthayđәinhӳnggóidӳliӋutrưӟckhidetectionenginethӵchiӋncôngviӋctìm
kiӃmnӃugóidӳliӋuđólànguyhiӇm.MӝtvàipreprocessorcòncóthӇthӵchiӋntìmra
nhӳngdҩuhiӋubҩtthưӡngtrongtiêuđӅgóivàsinhracҧnhbáo.Preprocessorrҩtquan trӑngđӕivӟi
IDSnhҵmchuҭnbӏnhӳnggóidӳliӋuđӇphântíchchoviӋcthiӃtlұprule
trongdetectionengine.HackersӱdөngnhӳngcôngnghӋkhácnhaunhҵmđánhlӯamӝt

ýæ
IDSbҵngnhiӅucáchkhácnhau.Chovídө,bҥncóthӇtҥomӝtruleđӇtìmmӝtdҩuhiӋu
³script/iiadmin´tronggóiHTTP.NӃubҥnsokhӟpchínhxácchuӛinày,bҥncóthӇdӉdàng bҳt lҩy.
Cho ví du:
²Ê ³script/./iisadmin´
²Ê ³script/examples/../iisadmin´
²Ê ³script/iisadmin´
ĐӇlàmphӭctҥptrҥngthái,hackercũngcóthӇchènvàoUniformResourceIdentifier
(URI)kýtӵnhӏphânhayUnicodemàvүnhӧpquytҳccӫamӝtwebserver.Chúýrҵng
webserverthưӡnghiӇu tҩtcҧnhӳngchuӛivàcóthӇxӱlýchúng chínhxácnhưmong muӕn trong
chuӛi ³script/iisadmin´. Tuynhiên IDS vүn theo dõi so khӟp chính xác, nó
khôngthӇpháthiӋnrasӵtҩncôngnày.MӝtpreprocessorcóthӇsҳpxӃplҥichuӛiđóđӇnó có thӇ
phát hiӋn đưӧc.
PreprocessorcũngcóthӇsӱdөngchonhӳnggóiphânmҧnh.KhimӝtgóidӳliӋucó
kíchthưӟclӟntruyӅnvàomӝthost,góiđóthưӡngbӏphânmҧnh.Chovídө,kíchthưӟc
mһcđӏnhlӟnnhҩtchogóidӳliӋutrongmҥngEthernetthưӡnglà1500byte.Giátrӏnày
đưӧcđiӅukhiӇnbӣigiátrӏMTU(MaximumTransmissionUnit)chogiaodiӋnmҥng.ĐiӅunày
cónghĩalànӃubҥngӱidӳliӋulӟnhơn1500byte,nósӁcҳtthànhnhiӅugói,mӛigóiphân
mҧnhđócókíchthưӟcnhӓhơnhoһcbҵng1500byte.HӋthӕngnhұnsӁtáihӧpđӇthành gói dӳ liӋu
nguyên thӫy. Trên IDS, trưӟc khi bҥn áp dөng nhӳng rule hay tìm mӝt
signature,bҥnphҧitáihӧpgói.Chovídө,phânnӱadҩuhiӋucóthӇchothҩytrongmӝt
đoҥnnàyvànӱakiatrong đoҥnkhác.ĐӇpháthiӋnchínhxácdҩuhiӋu,bҥnphҧikӃthӧptҩt cҧ phân
đoҥn cӫa mҧnh.Hacker sӱ dөng sӵ phânmҧnh đӇ đánh bҥi nhӳng hӋ
thӕngIDS.PreprocessorthưӡngđưӧcdùngđӇbҧovӋnhӳngloҥitҩncôngnày.Preprocessortrong
Snort có thӇ phân mҧnhgói,giҧi mãHTTP URI,tái hӧp luӗng TCP, v.v..Nhӳng chӭc năng
nàyrҩt quan trӑng trong thành phҫnIDS.
Dectecton Engne (Bӝ phұn phát hn):
DetectionenginelàthànhphҫnquantrӑngnhҩttrongSnort.NóchӏutráchnhiӋmphát
hiӋnnӃucóhànhvixâmnhұptrongmӝtgói.DetectionenginetұndөngnhӳngruleSnort đӇ làm
viӋc này. Nhӳng rule đưӧc đӑc trongcҩu trúc dӳ liӋu bên trong haybuӝcchһtchúng
vàonơimàchúngsӁsokhӟpvӟitҩtcҧcácgói.NӃumӝtgóinàođókhӟpvӟirule,hành
đӝngthíchhӧpsӁsinhra,chҷnghҥngóiđósӁbӏhӫy.NhӳnghànhđӝngđócóthӇlàghi gói hay sinh
cҧnh báo.
Detectionenginelàmӝtphҫntiêuchuҭnthӡigian(time-critical)cӫaSnort.Phөthuӝc
vàosӭckhӓecӫahӋthӕng bҥnvàcóbaonhiêuruleđưӧcđӏnhnghĩa,nócóthӇtiêutӕnbao
nhiêuthӡigianchocôngviӋcđápӭngcácgóinày.NӃulưulưӧngtrênhӋthӕngmҥngcӫa

•0
CHƯƠNG III : ӬNG DӨNG 61

bҥnlàkhácaokhiSnortlàmviӋctrongchӃđӝNIDS,bҥncóthӇhӫynhӳnggói.Sӵvұn hành cӫa


Detection engine phө thuӝc vào cácyӃu tӕ sau:
²Ê Sӕ rule trên đó.
²Ê Sӭc mҥnh cӫa hӋ thӕng trên đó có Snort đangchҥy.
²Ê Thông lưӧng bên trong đó.
²Ê Lưu lưӧng trên mҥng
Khi thiӃt kӃ mӝt NIDS, bҥn phҧigiӳ tҩt cҧ hӗ sơ kӻthuұt trong đó.
NênnhӟrҵnghӋthӕngpháthiӋncóthӇkhҧosáttӍmӍvàápdөngruletrênnhiӅuphҫn cӫagói dӳ
liӋu. Nhӳng phҫn nàycó thӇ là:
²Ê IP headercӫagói.
²Ê Headerlӟptransport.Header gӗm:TCP,UDP,vànhӳngheaderlӟptransport
khác. Nó cũng có thӇ làm viӋc trênICMP header.
²Ê Headerlӟpapplication.Nógӗmcó:DNSheader,FTPheader,SNMPheader,
SMTPheader.BҥncóthӇphҧisӱdөngnhiӅuphươngpháptrӵctiӃptҥiheaderlӟp
application, chҷng hҥn như tìm kiӃm offset cӫa dӳ liӋu.
²Ê Payload cӫadӳ liӋu. ĐiӅu này giúp bҥn tҥo ra mӝt rule dùng cho detection
engine đӇ tìm mӝt chuӛi bên trong dӳ liӋu.
Detection engine làm viӋc khác nhau trong mӛi phiên bҧn Snort khác nhau.Trong tҩt
cҧ phiênbҧnSnort1.x,detectionenginengӯngxӱlýtrêngóiđókhimӝtruleđưӧcsokhӟp
trêngóiđó.Phөthuӝcvàorule,detectionenginethӵchiӋnnhӳnghànhđӝngthíchhӧpnhư
ghilogfilehaysinhmӝtcҧnhbáo.ĐiӅunàycónghĩalànӃumӝtgóikhӟpvӟitiêuchuҭn
đưӧcđӏnhnghĩatrongnhiӅurule,chӍruleđҫutiênđưӧcápdөngvàogóiđómàkhôngtìm
kiӃmsӵsokhӟpkhác.ĐâylàmӝtvҩnđӅ.MӝtrulethiӃutrӑnvҽnsӁsinhramӝtcҧnhbáo
khôngtrӑnvҽn,thâmchínӃumӝtrulekháđҫyđӫ(tươngӭngvӟimӝtcҧnhbáotӕt)cóthӇ
nҵmsauruletrưӟcnó.VҩnđӅnày đãđưӧcsӱatrongSnortphiênbҧn2,tҩtcҧcácruleđӅu đưӧc so
khӟp vào mӝtgói trưӟc khi sinh mӝt cҧnh báo.Sau khi so khӟp tҩtcҧ các rule,rule nào trӑn
vҽn nhҩt sӁ đưӧcchӑn đӇ sinh cҧnh báo.
Detectionenginetrong Snort2.0đãđưӧclàmlҥimӝtcáchhoànchӍnhđӇnósosánhtӕt hơn,
phát hiӋn sӟm hơn so vӟi các phiên bҧn trưӟc.
oggng v Alertng System (H thӕng gh v cҧnh báo) :
Phөthuӝcvàodetectionenginetìmtronggói,góicóthӇđưӧcdùngđӇghihànhđӝng hay
sinhcҧnh báo.ViӋcghi lưu trong nhӳng text file đơn giҧn, loҥi file tcpdump hay nhӳng
hìnhthӭcghikhác.Mһcđӏnhtҩtcҧnhӳnglogfileđưӧclưutrong.Bҥncó
thӇsӱdөngdònglӋnh³±l´đӇthayđәivӏtrísinhlogfilehaycҧnhbáo.CónhiӅulӵachӑn
dònglӋnhsӁđưӧcthҧoluұntrongphҫnsauvàchitiӃtthôngtinvӅcáchghilogfilehay cҧnh báo.

•1
Otpt Modles (Bӝ phұn đҫ ra) :
Outputmoduleshayplug-inthӵchiӋnnhӳnghoҥtđӝngkhácnhauphөthuӝcbҥnmuӕn
lưukӃtquҧsinhrabӣiloggingvàcҧnhbáo thӃnào.VӅcơbҧn,nhӳngmodulesnàyđiӅu
khiӇnloҥikӃtquҧsinhrabӣihӋthӕngloggingvàcҧnhbáo.Phөthuӝcvàosӵcҩuhình, Output
modules có thӇ làm nhӳng viӋc sau:
²Ê Đơn giҧnchӍ ghi vào  haynhӳng thư mөc khác
²Ê Gӱi SNMP traps
²Ê Gӱi thông điӋp đӃn syslog.
²Ê Ghi vào cơ sӣ dӳ liӋu như MySQL hayOracle.
²Ê Sinh radүn xuҩt eXtensible MarkupLanguage(XML)
²Ê Bә sungcҩu hình trên router vàfirewall.
²Ê Gӱi thông điӋp Server MessageBlock (SMB) đӃnhӋ thӕng Microsoft
Window.
NhӳngcôngcөkháccũngcóthӇgӱicҧnhbáotrongnhӳngđӏnhdҥngkhácnhưe-mail
hayquagiaodiӋnweb.
Bҧngsauđâychotathҩynhӳngthànhphҫnkhácnhaucӫamӝt IDS:

Tên Mô tҧ
Packet Decoder Chuҭn bӏ gói cho viӋc xӱ lý
Preprocessor hay Input plugin Dùng đӇ bình thưӡng hoá tiêu đӅ giao
thӭc, phát hiӋn sӵ bҩt thưӡng, tái hӧp
gói và tái hӧp luӗng TCP
Detection Engine Áp dөng rule lên gói
Logging and Alerting System Sinh thông điӋp cҧnh báo và ghi lҥi log
Output Modules Xӱ lý cҧnh báo, ghi và sinh kӃt quҧ
cuӕi cùng.

.›ұp lұt (rlesets) trong Snort :


Giӕngnhưvirus,hҫuhӃthànhđӝngxâmnhұpcóvàiloҥisignature.ThôngtinvӅnhӳng
signaturenàydùngđӇtҥoSnortrules.bҥnđãphântíchmӝtsӕkӻthuұttҩn
côngDoS/DDoSđӇtìmranhӳngcơchӃhoҥtđӝngvàthôngtinvӅnhӳngcôngcөvàcông nghӋcӫa
hӑ. Hơn nӳa, có nhӳng lәi cơ sӣ dӳ liӋu khiӃn cho nhӳng intruder muӕn khai thác.Có
nhiӅucuӝctҩncôngđưӧcbiӃtđӃncũngsӱdөngsignatuređӇtìmmӝtaiđócӕgҳngkhaithác
chúng.NhӳngsignaturenàycóthӇhiӇnthӏtrongphҫnheader(tiêuđӅ)cӫagóidӳliӋuhoһc
trongpayload.HӋthӕngpháthiӋnSnortdӵatrênrules.NhӳngrulenàylҩycơsӣtӯdҩuhiӋu
kҿxâmnhұp(signature).SnortrulescóthӇđưӧcsӱdөngđӇkiӇmtranhӳngphҫnkhácnhau
cӫagóidӳliӋu.Snort1.xcóthӇphântíchӣnhӳngheaderӣlӟp3và4nhưngkhôngthӇphân
•2
CHƯƠNG III : ӬNG DӨNG 63

tíchӣgiaothӭclӟpӭngdөng.Snortphiênbҧn2.xcóhӛtrӧphҫnheaderlӟpӭngdөng.Nhӳng rule
đưӧcáp dөng trong mӝt kiӇu nào đó đӃn tҩt cҧcácgói phө thuӝc vào loҥi đó.
MӝtrulecóthӇsӱdөngđӇphátramӝtthông điӋpcҧnhbáo,ghimӝtthông điӋp,hay,trong
nhӳngthuұtngӳcӫaSnort, góidӳliӋu(khônglàmgìcҧ).SnortrulesđưӧcviӃttheocú
phápdӉhiӇunhҩt.HҫuhӃtnhӳngrulesđưӧcviӃttrênmӝtdòngđơn.Tuynhiênbҥncũngcó
thӇmӣrӝngtrênnhiӅudòngbҵngcáchdùngmӝtkýtӵ³\´vàocuӕidòng.Rulesthưӡngđһt
trongmӝtfilecҩuhình,chҷnghҥnnhưlà
.BҥncũngcóthӇsӱdөngnhiӅufilebҵng
cáchgôm chúng trong mӝt filecҩu hình chính.
TrongchươngnàycungcҩpthôngtinvӅnhӳngloҥirulekhácnhaucũngnhưcҩutrúccơ
bҧncӫarule.BҥnsӁtìmthҩynhiӅuvídөcӫanhӳngrulechungchohànhvipháthiӋnxâm nhұp
trongchương sau.

*Cҩ trúccӫamӝtrle:

Tҩt cҧ cácrule đӅu có 2phҫn logic: rule ! vàrule 

Rule Header Rule Options

Cҩu trúc Rule


Rule!chӭathôngtinvӅhoҥtđӝngmàruleđӇlҩy.Nócũngchӭatiêuchuҭncho
viӋcsosánhmӝtluұtdӵavàogóidӳliӋu.Rule thưӡngchӭamӝtthôngđiӋpcҧnh
báovàthôngtinvӅthôngđiӋpsӁđưӧcsӱdөngđӇphátsinhcҧnhbáo.Rule cũng
chӭatiêuchuҭnchoviӋcsosánhmӝtluұtdӵavàogóidӳliӋu.MӝtrulecóthӇpháthiӋn
mӝtloҥihaynhiӅuloҥihànhvixâmnhұp.Rule³thôngminh´làrulecóthӇápdөnglên nhiӅu dҩu
hiӋu xâm nhұp.

Cҩu trúcchungcӫarule! như sau:

Action Protocol Address Port Derection Address Port

RuleHeader
 dùngđӇxácđӏnhloҥihànhđӝngmànólҩyvӅkhitiêuchuҭngһpđưӧcvàmӝt
ruleđưӧcsosánhchínhxácmӝtgóidӳliӋu.NhӳnghoҥtđӝngđiӇnhìnhlàsinhramӝt cҧnh báo
hoһcghi thông điӋp hoһc diӋnchӭngcho rule khác.
  dùngđӇápdөngrulelêngóichӍvӟimӝtgiaothӭcriêng.Đâylàtiêuchuҭn
đҫutiêngiámsáttrongrule.Bҥncũng cóthӇsӱdөng nhӳng thànhphҫnkhácđӇngănchһn nhӳng
đӏachӍ tӯ mӝt mҥng đҫyđӫ. Chú ýrҵng có 2 trưӡng đӏa chӍ trong rule. Đӏa chӍ
nguӗnvàđíchđưӧcxácđӏnhdӵatrêntrêntrưӡng .Chomӝtvídө,nӃutrưӡng  
là³ ´, đӏachӍphía bên trái là nguӗn, đӏachӍ bên phҧi là đích.
TronggiaothӭcTCP/UDP,portxácđӏnhcәngnguӗnvàđíchcӫagóikhiruleápdөng lên đó.
Trong trưӡng hӧp nhӳng giao thӭc lӟp network như IP và ICMP, port numbers

khôngcóý nghĩa.
Chovídө,rulesauđâysӁsinhracҧnhbáokhinópháthiӋngóipingICMP(ICMP
ECHO REQUEST) vӟi TTL bҵng 100:
alerticmpanyany->anyany(msg:"PingwithTTL=100";\
ttl:100;)
Phҫnnҵmtrưӟcdҩungoһcđơngӑilàrule!.Phҫntrongdҩungoһcđơnlàrule  .
Headerchӭa nhӳng phҫn sau:
ÍÊ Mӝtruleaction(hànhđӝngcӫaluұt).Trongruletrên,actionlà³alert´,cónghĩalà
mӝtcҧnhbáosӁsinhrakhiđiӅukiӋnbҳtgһp.Nhӟrҵngnhӳnggóiđưӧcghibҵng
mһcđӏnhkhicҧnhbáophátra.Phөthuӝcvàotrưӡng action,rule cóthӇchӭa tiêu
chuҭn cho rule.
ÍÊ Protocol(giaothӭc).Ӣđây làICMP,nghĩalàrulechӍápdөnglêntҩtcҧgóiICMP. Trong
Snort !
 , nӃu giao thӭc cӫa gói không phҧi ICMP, rule sӁ không
làmgì trêngói đóđӇ tiӃt kiӋm thӡigian xӱlýcӫa CPU.Thành phҫn  
làrҩtquantrӑngkhibҥnmuӕnápdөngSnortrulechӍtrênnhӳnggóicӫamӝtloҥi riêng biӋt.
ÍÊ ĐӏachӍnguӗnvàcәngnguӗn.TrongvídөnàycҧhaiđӅulà³any´,cónghĩalàrule
sӁápdөnglêntҩtcҧcácgóiđӃntӯnhiӅunguӗn.DĩnhiênportnumbersӁkhôngáp
dөnglêngóiICMP.PortnumberchӍthíchhӧptrongtrưӡnghӧpprotocollàTCP hayUDP.
ÍÊ Direction.Trongtrưӡnghӧpnày,nólàkýhiӋu tӯtráisangphҧi.NóilênđӏachӍ và port
number bên trái dҩu là nguӗn còn bên phҧi là đích. ĐiӅu đócũng có
nghĩarҵngrulesӁápdөnglêngóiđitӯnguӗnđӃnđích.BҥncũngcóthӇdùngdҩu
đӇđӏnhnghĩađӏachӍnguӗn/đíchchogói.Kýtӵ¾ cũngcóthӇsӱdөngđӇáp dөngrule
lêngói đi tӯ 2 bên.
ÍÊ ĐӏachӍđíchlàcәngđích.TrongvídөnàycҧhaiđӅulà³any´,cónghĩalàrulesӁ
ápdөnglêntҩtcҧcácgóikhôngquantâmđӃnđӏachӍđích. trongrule không
đóng vai trògí cҧbӣi vì ruleđưӧcáp dөng lên tҩt cҧ cácgóiICMP di chuyӇn
cҧhaibên,dođãsӱdөngtӯkhóa³any´trongcҧhaithànhphҫnđӏachӍnguӗnvà đích.

Rle Opton:
Rule theosaurule!vàđưӧcđһttrongcһpdҩungoһcđơn.CóthӇmӝtlӵa
chӑnhaynhiӅulӵachӑntruyӅnvàocùngdҩu.NӃubҥnsӱdөngnhiӅulӵachӑn,dҥng lӵa
chӑnnàylà AND. Hành đӝng trong rule ! chӍ đưӧc gӑi khi tҩt cҧ nhӳng tiêu
chuҭntronglӵachӑnlàđúng.Bҥnđãsӱdөng như×và trongvídөtrưӟcrӗi
đó.Tҩtcҧnhӳnglӵachӑnđưӧcđӏnhnghĩabӣitӯkhóa.NhӳngRule chӭacácđӕi
sӕ.Thưӡngthìnhӳnglӵachӑncó2phҫn:mӝttӯkhóavàmӝtđӕisӕ.NhӳngđӕisӕtruyӅn vào
tӯ lӵachӑn tӯ khóabҵng mӝt dҩu q:´. Chҷng hҥn như:
× Š
  Ê
Ê

Lӵachӑn &là tӯ khóavàq8


!
!´ là đӕi sӕ cho tӯ khóa này.
Sauđâylànhӳngtӯkhóathôngdөng.Nóhoҥtđӝngtrênnhӳnggiaothӭcriêng,cho nên cóý
nghĩa khác nhau đi theogiao thӭc.
VӅ nӝ dng (lp applcaton):
Tӯ khóa
:

•ï
CHƯƠNG III : ӬNG DӨNG 65

Mӝtchӭcnăng quantrӑng cӫaSnort,nócókhҧnăng tìmmүudӳliӋubêntronggói. Mүu


nàycó thӇ hiӇn thӏӣ dҥng chuӛi ASCII haynhӏ phân trong hình thӭcmã hexa.
RulesauđâypháthiӋnmӝtmүu³GET´trongphҫndӳliӋucӫagóiTCPxuҩtphát tӯ đӏachӍ
192.168.1.0. tӯ khóa GET thưӡng đưӧc sӱ dөng cho nhiӅu loҥi tҩn công
HTTP;tuynhiênӣđây rulechӍgiúpchobҥnhiӇunhưthӃnàotӯkhóanày làmviӋcmà thôi:
   Ê
!Š  "#$× "#$× %&Ê
Ê

Rule dưӟi đâycũng tương tӵ nhưng nó liӋt kêӣ dang hexa:


   Ê
!Š  '())'× "#$× %&Ê
Sӕ47tươngđươngmãASCIIlàG,45=E,54=T.BҥncũngcóthӇkӃthӧpdҥng
ASCII và nhӏ phân trong hexa vào mӝt rule.Ký tӵhexa nҵm trong cһp dҩuq ´.
Có3tӯkhóakhácnhaudùngchungvӟi
.Nhӳngtӯkhóanàylàtiêuchuҭn trong khi tìm
mӝt mүu bên trong gói.Đó là:
Offst
Depth
Nocase
Tӯ khóa:
TӯkhóasӱdөngđӇbҳtđҫutìmtrongkhoҧngnàođótӯđiӇmbҳtđҫucӫa phҫn dӳ liӋu cӫagói.
Dùng mӝtcon sӕ làm đӕi sӕ cho tӯ khóa này.Ví dө sau sӁ bҳt đҫu tìm tӯ³HTTP´ sau 4
byte kӇ tӯ byte đҫu tiên trong gói.
    Ê
!Š  *$$+Š

× *$$+× %&Ê


Ê

Tӯ khóa!  đӏnh nghĩa điӇm đӇ Snort ngӯng tìm kiӃm mүu.


Tӯ khóa! :
ChӍđӏnhmӝtgiӟihҥndưӟichoviӋclҩymүu.Dùng! chophépbҥnchӍđӏnh
mӝtkhoҧngbҳtđҫutӯbyteđҫutiêncӫagói.DӳliӋusaukhoҧngnàykhônglҩymүu
nӳa.NӃubҥnkӃthӧpvà! cùngvӟi
,bҥncóthӇchӍravùngdӳliӋu
màbҥnmuӕnlҩymүu.Vídөbҥnmuӕntìmtӯ³HTTP´,lҩymүu4bytevàchӍxéttrong 40 byte đҫu

•ý
tiên:
   !Š   Ê
*$$+Š

%× *$$+× %&Ê


Ê

NórҩtquantrӑngkhibҥnmuӕngiӟihҥncôngviӋctìmkiӃmtronggói.Chovídө,
thôngtinvӅyêucҫuHTTPGETđưӧctìmthҩy tӯđҫugói.Khôngcҫnphҧitìmtoànbӝ
gói.NhiӅugóiđưӧccapturevӟikíchthưӟcrҩtlӟn,nósӁtӕnnhiӅuthӡigianđӇtìm kiӃm.
Tӯ khóa
:
?
thưӡng kӃthӧpvӟi
.Nókhôngcóđӕisӕ.NóchӍgiúptìmmүutrong
dӳ liӋu không phân biӋt chӳ hoa hay thưӡng.
Tӯ khóa:
wđưӧcsӱdөngđӇápdөngmӝtruletrênnhӳng phiênTCPđӃnnhӳnggóitrong
phươnghưӟngriêng.Tӯkhóanàydùngxácđӏnhphươnghưӟng.Nhӳnglӵachӑncó thӇ sӱ dөng
cho tӯ khóanày xác đӏnh phương hưӟng:

to_client
to_server
from_client
from_server
NhӳnglӵachӑnnàylҫnđҫucóthӇgâychobҥnkhóhiӇu.Tӯ³to´mangýnghĩalà đáp
ӭng(response) và³from´ mang nghĩa làyêucҫu (request).
NhӳnglӵachӑnkhácdưӟiđâycũngcóthӇsӱdөngđӇápdөngrulevàocáctrҥng thái khác nhaucӫa
kӃt nӕi TCP.
Lӵa chӑn 0áp dөng rule mà không cҫn xem trҥng thái cӫa phiên TCP
Lӵachӑn !0ápdөngrule mà đӇ xác lұpchӍ nhӳng phiên TCP
LӵachӑnF&0bұtnhӳngruleđӇápdөngvàogóimàkhôngcҫnxây dӵng tӯ mӝt luӗng.
Lӵachӑn&F)0ápdөngrulechӍtrênnhӳnggóiđãxâydӵngtӯmӝt luӗng.
Luӗng TCP (TCP Stream)đưӧc xӱ lýbӣi bӝ tiӅn xӱ lýstream4 (thҧo luұn trong phҫn
sau).Lӵachӑn  và! liênkӃt đӃn trҥng thái TCP.
ӵa chӑn vӅ IP:

••
CHƯƠNG III : ӬNG DӨNG 67

Tӯ khóa:
TiêuđӅIP(IPheader)chӭa3cӡbit,dùngđӇphânmҧnhvàtáihӧpgóiIP.Chӭc năng cáccӡ như sau:
Bit dành riêng(RB± ReservedBit), dùngcho tương lai.
Bitkhôngphânmҧnh(DF±Don¶tFragmentBit).NӃubitnàybұt,nócho
biӃtgóiIP sӁ không phân mҧnh.
Bit có nhiӅu phân mҧnh(MF ± MoreFragments Bit).
DtươngđươngDF.Tươngtӵ,RlàRB,MlàMF.BҥncũngcóthӇdùngdҩuq´
trongrule.Ngoàira,đichungvӟi³D,R,M´,tacũngthưӡngthҩycáctӯ³+,-´.Nócóý
nghĩa,nӃulà³+´tӭclàgҳnthêmbitcӡvӟinhӳngbitkhác,nӃulà³-´thìbӓbӟtmӝtsӕ bit.
Tӯ khóa  :
TrongIPv4,tiêuđӅlà20byte.BҥncóthӇthêmnhӳnglӵachӑnchotiêuđӅIPnày.ChiӅudàicӫaphҫnl
ӵachӑncóthӇlênđӃn20byte.LӵachӑnIPdùngchonhӳngmөc đích khác nhau, đó là:
Record Route(rr)
Time Stamps (ts)
Lose Source Routing (lsrr): đӏnh tuyӃn nguӗn nӟilӓng
Strict Source Routing(ssrr); đӏnh tuyӃn nguӗn siӃt chһc
TrongSnortrule,hҫuhӃtnhӳnglӵachӑnthưӡngdùngliӋtkêtrongRFC791tҥi http://www.rfc-
editor.org/rfc/rfc791.txt.HackercóthӇdùngnhӳnglӵachӑnnày đӇtìm thông tinvӅ tә chӭc
mҥng. Ví dө, loose và strict source routing có thӇ giúp hacker khám phára đưӡn dүn cӫa
mӝt mҥng nào đó tӗn tҥi hay không.
Dùng nhӳngSnort rule, bҥn có thӇ phát hiӋn nhӳng nә lӵc tìm kiӃm cӫa hacker bҵng tӯ
khóa   . Rule sau áp dөng choLosseSource Routing:
     ! Š   ,× -ŠŠ  Š.Š.  ×&Ê
Bҥn cũng có thӇ dùng tӯ khóa đӇ ghi thông điӋp vào mӝt file. Tuy nhiên, bҥn không
thӇchӍđӏnh nhiӅu tӯ khóa lӵachӑnIP trong mӝt rule.
Tӯ khóa F :
7 F sӱdөngIPProtoplug-inđӇxácđӏnhconsӕgiaothӭctrongIPheader.Tӯ
khóayêucҫuconsӕgiaothӭcnhưmӝtđӕisӕ.bҥncóthӇsӱdөngmӝttênchogiao thӭc nӃu nó
đãđӏnh nghĩa trong file 
 
. Xem mүu file tương tӵnhư sau:

•Ô
/)Ê 0Ê 12)Ê 312)4 × Ê
 Ê Ê 5+5+Ê 361 Š%5+   .  Š ,× Ê )
Ê 758+Ê37Š9 5  :Š; ,8Š Š +ŠÊ
 Ê Ê <88<+Ê 3<× %Š8Š××.   Š Ê
<+ŠÊ
% (Ê #$*#=5+Ê 3#% : % 5+,#   .  Š Ê
  Ê Ê #>81+Ê 361 Š%5+   .  Š Ê
3Ê Ê 3  ?   Š , %×Ê
×Ê "7$+Ê 3"7$+Ê

×Ê 547+Ê 35 Š 4 Š:7 × Ê
+ŠŠŠ Ê
 Ê +>>5Ê 3+>>5Š?5+Ê
Rule sau kiӇm tranӃu giao thӭcIPIP là đang sӱ dөng bӣigói dӳ liӋu:
     ! @ŠŠ   × 5+5+.  &Ê
Ê

TiӃp theo, ta dùng mӝt sӕ thay vì tên (hiӋu quҧ hơn)


     ! @ŠŠ × 5+5+.  &Ê
NhӳnggiaothӭcmӟinhҩtcóthӇtìmthҩytӯICANNtҥihttp://www.icann.orgtҥi IANA
http://iana.org.
Tӯ khóa!:
7!dùngđӇsosánhtrưӡngIDphânmҧnhcӫatiêuđӅIP.Mөcđíchcӫanólàphát hiӋn ra nhӳng
tҩncông màcó dùng IDcӕ đӏnh trong IP header.Đӏnh dҥng cӫa nó là:
 @ .×9Ê
Ê

NӃugiátrӏcӫatrưӡng!trongIPheaderbҵng0,nóchobiӃtđâylàphânmҧnhcuӕi
cùngcӫamӝtgóiIP(nӃugóiIPđóbӏphânmҧnh).Giátrӏ0cũngchobiӃtrҵngnóchӍ
phânmҧnhnӃugóiđólàkhôngphânmҧnh.7!trongSnortruledùngđӇxácđӏnhphân mҧnh cuӕi
cùng trong góiIP.
Tӯ khóa:
Gdùng đӇpháthiӋnramӝtgiátrӏnàođótrong trưӡng TOS(TypeofService)cӫa IP header.Ví
dө như sau:
Š Ê

•`
CHƯƠNG III : ӬNG DӨNG 69

Tӯ khóa:
GđưӧcdùngđӇpháthiӋngiátrӏTimeoLivetrongIPheadercӫagói.Tӯkhóacó
mӝtgiátrӏchobiӃtchínhxácgiátrӏTTL.TӯkhóanàycóthӇsӱdөngvӟitҩtcҧloҥi
giaothӭcxâydӵngtrêngiaothӭcIP,baogӗmICMP,UDPvàTCP.Đӏnhdҥngchungcӫa nó như
sau:
 Ê
TiӋníchtraceroutesӱdөngTTLđӇtìmbӝđӏnhtuyӃnkӃtiӃptrongđưӡngđicӫa
gói.TraceroutegӣinhӳnggóiUDPvӟigiátrӏTTLtăngdҫn.GiátrӏTTLđưӧcgiҧm dҫn tҥi mӛi
hop.Khi nócó giá trӏ là 0, router sinhra mӝtgóiICMP đӃn nguӗn.Sӱ dөng
góiICMPnày,tiӋníchtraceroutetìmrađӏachӍIPcӫarouter.Vídө,đӇtìmrouterthӭ
5,traceroutesӁgӱinhӳnggóiUDPvӟiTTLđһtlà5.KhigóinàyđӃnrouterthӭ5,nó có giá trӏ là 0
và mӝtgói ICMP đưӧc sinh ra.
Sӱdөng,bҥncóthӇtìmranӃumӝtaiđócӕgҳngtraceroutequamҥngcӫabҥn.
Tӯ khóacҫnchính xácgiá trӏ TTL đӇ mà so khӟp.
ӵa chӑn vӅ ›CP:
Tӯ khóa@:
@trong Snort rule kiӇm tra sequence number cӫa gói TCP. Đӕi sӕnày là mӝt sequence
number. Nócóđӏnh dҥng:
A A. @ .×9Ê
Sequence number là mӝt phҫn trong tiêu đӅ TCP.Ê
Tӯ khóa:
wdùng đӇtìmracӡbitđưӧcbұttrong tiêuđӅTCPgói.MӛicӡcóthӇ dùng như
mӝtđӕisӕchotrongSnortrule.BҥncóthӇthamkhҧothêmcӡflagtrongTCPtҥi RFC 793tҥi
http://www.rfc-editor.org/rfc/rfc793.txt. Cӡ bit này đưӧc sӱ dөng cho nhiӅu công cө bҧo
mұt nhҵm mөc đích khác nhau bao gӗm công cө quét cәng như nmap. Snort hӛ trӧ nhӳng
loҥi cӡ bit .BҥncũngcóthӇdùngdҩuq,+,*´giӕngnhưcӡbittrongtiêuđӅIP,tươngӭngvӟi phép
AND, OR vàNOT.

   !
 <4 Ê
× B<6>845> ;C&Ê

•æ
Tӯ khóa
:
TCPheadercómӝttrưӡngAcknowledgemantNumber,cóchiӅudài32bit.Trưӡng
chobiӃtlàsequencenumbertiӃptheocӫagóiTCPbêngӣiđangchӡđӧitӯbênnhұn. Trưӡng
nàychӍ cóý nghĩa khi cӡ ACK trong TCP header đưӧc bұt.
Côngcө×(http://nmap.org)sӱdөngtínhnăngcӫagóiTCPnàyđӃpingmӝt
máy.Chovídө,nócóthӇgӱimӝtgóiTCPtӟiport80vӟicӡACKbұtvàsequence
numberlà0.Khigóinàykhôngtruycұpđưӧc dobênnhұncóápdөngruleđӕivӟi
TCP,nósӁgӱivӅmӝtgóiRST.KhinmapnhұnđưӧcgóiRSTnày,nóchӍrarҵnghost
đóvүncònhoҥtđӝng.PhươngphápnàylàmviӋctrênnhӳnghostmàkhôngđápӭng nhӳng
góiICMP ECHOREQUEST.
ĐӇ phát hiӋn loҥi ping TCP này, bҥncó thӇ tҥo mӝt rule như sau:
   !
 1 ;× $8+ &Ê
Ê

RulenàychobiӃtlàthôngđiӋpcҧnhbáosӁphátrakhibҥnnhұnmӝtgóiTCPvӟi
cӡAbұtvàACKchӭacógiátrӏ0.NhӳngcӡTCPđưӧcliӋtkêtrongbҧngdưӟi.Host
đíchlà192.168.1.0/24.bҥncóthӇsӱdөnggiá trӏcӫaACK trongrule, tuynhiên nó
thêmvàoSnortchӍpháthiӋncholoҥitҩncôngnày.ThưӡngthìkhicӡAđưӧcbұt,giá trӏ ACK
khôngcòn là 0.
ӵa chӑn vӅ ICMP:
Tӯ khóa
& F!:
Lӵachӑn 
& F! phát hiӋn raIDcӫagóiICMP.Cú pháp cӫa nó là:
×@ D587+@ @ .×9Ê
Ê

TrưӡngnhұndҥngmӝtICMP tìmthҩytrongthôngđiӋpICMPECHOREQUEST
vàICMPECHOREPLY(xemRFC792).TrưӡngnàyđưӧcsӱdөngđӇsosánhECHO
REQUESTvàECHOREPLY.Thưӡng thìkhibҥnsӱdөng lӋnhping,cҧhailoҥiICMP
đóđưӧctraođәigiӳabêngӱivàbênnhұn.BêngӱigӱigóiECHOREQUESTvàbên
nhұnđápӭnglҥigóiECHOREPLY.TrưӡngnàycóíchchoviӋcnhұnracáigóiđáp
ӭngchogóiyêucҫu.LuұtsaukiӇmtranӃuICMPIPtrongtiêuđӅICMPbҵng100thì sinh mӝt cҧnh
báo.

Ô0
CHƯƠNG III : ӬNG DӨNG 71

 ×    ! ×@  Ê


× 587+5E&,
Tӯ khóa
& F@:
Lӵachӑn 
& F@ tương tӵ như 
& F!. Cú pháp cӫa nó là:
×@ AD587+@ @ .×9Ê
sequencenumbercũnglàmӝttrưӡngtrongtiêuđӅICMPvàcũngcóíchtrongviӋc
sosánhECHOREQUESTvàICMPECHOREPLY(xemRFC792).Tӯkhóanàycho
phéptìmmӝtsequencenumberđһctrưng.Tuynhiên,ítaimàdùngtӯkhóanày.Xem rule sau, nӃu
sequence number là 100 thì sinh cҧnh báo:
 ×    ! ×@ A Ê
× 587+<A. E&Ê
Tӯ khóa) :
TiêuđӅICMPđӃnsautiêuđӅIPvàchӭamӝttrưӡngtype.Tӯkhóa) nhҵmphát
hiӋnnhӳngtҩncôngsӱdөngtrưӡngtypetrongtiêuđӅICMP.Đӕisӕchonólàmӝtsӕ vàcó đӏnh
dҥng sau:
587+@@ .×9Ê
TrưӡngtypetrongICMPheadercӫagóidӳliӋuđưӧcsӱdөngđӇxácđӏnhloҥigói ICMP.Danh sách
các loҥiICMP khác nhau vàgiátrӏ cӫa trưӡng type tương ӭng:
Vídө,nӃubҥnmuӗnsinhmӝtcҧnhbáocholoҥithông điӋpsourcequench,sӱdөng rule sau:
 ×    !  × 587+<Š.F. %7  ?&Ê
Tӯ khóa
!:
Trong nhӳnggóiICMP,ICMPheaderđӃnsauIPheader.Nóchӭamӝttrưӡng code.Tӯ khóa

!dùng đӇ phát hiӋn trưӡng code trong tiêu đӅ gói ICMP. Đӕi sӕcho trưӡng này là mӝt
sӕ và có đӏnh dҥng sau:
Š587+@Š@ .×9Ê
TrưӡngtypetrongtiêuđӅICMPchobiӃtloҥithôngđiӋpICMP.Trưӡngcodecho
biӃt chitiӃt loҥi đó. Ví dө, nӃu trưӡng type có giá trӏ là 5 thì loҥi ICMP là ³ICMP
redirect´.CóthӇcónhiӅulýdosinhramӝtICMPredirect.TrưӡngcodechobiӃtrõ nhӳng loҥi lý
do đó:
NӃu trưӡngcode bҵng 0,gӱigóiICMP đӃn mӝt mҥng.

Ô1
NӃu trưӡngcode bҵng 1,gӱigóiICMP đӃn mӝthost
NӃu trưӡngcode bҵng 2,góiICMP là loҥi cӫa dӏch vө và mҥng.
NӃu trưӡngcode bҵng 3,góiICMP là loҥi cӫa dӏch vө và host.
7
!trongSnortrulesӱdөngđӇtìmgiátrӏtrưӡngcodetrongICMPheader.Rule sau sinh ra mӝt
cҧnh báocho nhӳng góiICMP đӃn host:
 ×    ! ) , Š× 587+5E&Ê
Haitӯkhóaitypevàicodethưӡngdùngchungvӟinhau.NӃuicodedùngmӝtmình
thưӡngkhôngđҥtđưӧccôngviӋctӕtbӣivìnhӳngloҥiICMPkháccũngcóthӇcócùng giá trӏ
codegiӕng nhau.

II.Thӵc hiӋn:

1.Mô hình:

2.›hӵc hn:

2.m.Các phn mm cn thit:


Snort
Apache HTTP Server

Ô2
CHƯƠNG III : ӬNG DӨNG 73

PHP5
MySQL

2.2.Thc hin:

Cài Snort:

Cài Apache HTTP Server:

Khӣi đӝng Apache HTTP Server:

Test Apache HTTP Server

Cài PHP5:

Cài MySQL cho Apache HTTP Server:

Cҩu hình lҥi file my.cnf:

Ôï
CHƯƠNG III : ӬNG DӨNG 75

Khӣi đӝng lҥi MySQL:

Cài thư viӋn cho Apache HTTP Server:

Ôý
CàiPHPMyadmin:

ԕ
CHƯƠNG III : ӬNG DӨNG 77

Cҩu hình lҥi file php.ini:

Tҥo cơ sӣ dӳ liӋu đӇ lưu file log:

ÔÔ
Cài Snort cho MySQL:

Ô`
CHƯƠNG III : ӬNG DӨNG 79

Cҩu hình file snort.conf:

Import table cơ sӣ dӳ liӋu cho Snort:

Ôæ
Xem bҧng database:

Table cӫa Snort:

`0
CHƯƠNG III : ӬNG DӨNG 81

Tҥo mӝt rule đơn gian : test.rules

`1
Nӝi dung cӫa rules:

Test rules vӯa tҥo:

`2
CHƯƠNG III : ӬNG DӨNG 83

Install rules thành công:

Truy cұp trang www.google.com:

KӃt quҧ:

Test tҩn công Dos:


Tool tҩn công: DosHTTP:

Máy tҩn công:


CHƯƠNG III : ӬNG DӨNG 85

Máy cài Snort:

KӃt quҧ:



Tài liӋu tham khҧo 87

›  l tham khҧo


1.Ê Earl Carter, q7!:
  ? 
:)6, Cisco Secure Intrusion Detection
System, Cisco Press, 2002.
2.Ê ³The need for Intrusion Detection System´, ³How IDS Addresses common Threats,
Attacks & Vulnerabilities´, Everythng yo need to know abot IDS, 1999 AXENT
Technologies, Inc.
3.Ê Christopher Kruegel, Fredrik Valeur, Giovanni Vigna, ³Computer security and
Intrusion Detection´, ³Alert Correlation´, Intrson Detecton and Correlaton:
Challenges and Soltons, Springer, 2005.
4.Ê Q.o.D<QoDwriting@gawab.com>, ´Part I´, A look nto IDS/Snort, 2004
5.Ê nowledgeNet Secrty+ Stdent Gde, Module 1±3, knowledgenet.com, 2003
6.Ê www.snort.org.
Ô.Ê http://searchsecrty.com/
`.Ê http://www.etf.org/rfc/