Tài liệu trình bày về hệ thống phát hiện xâm nhập (IDS) và các phương pháp bảo mật trong an ninh mạng, bao gồm vai trò của IDS trong việc phát hiện các hành động xâm nhập và các nguy cơ tấn công. Nội dung bao gồm các khái niệm về xâm nhập, hình thức tấn công, cùng các mô hình IDS như HIDS và NIDS, và phân tích sâu về Snort - một phần mềm mã nguồn mở cho IDS. Bài tập tổng hợp kiến thức về bảo mật thông tin và triển khai hệ thống phát hiện xâm nhập trong mạng.

1. BÀI TẬP LỚN : MẬT MÃ VÀ AN TOÀN DỮ LIỆU
HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
(INTRUSION DETECTION SYSTEM)
GIẢNG VIÊN: PGS-TS. TRỊNH NHẬT TIẾN
HỌC VIÊN: BÙI AN LỘC – K20HTTT

2. NỘI DUNG
Tổng quan về ninh mạng
Xâm nhập (Intrusion)
Hệ thống IDS
SNORT
Triển khai thực tế

3. Tổng quan an ninh mạng
5 nội dung chính của bảo mật:
 Xác thực (authentication)
 Ủy quyền (authorization)
 Cẩn mật (confidentiality)
 Toàn vẹn (integrity)
 Sẵn sàng (availability)

4. Tổng quan an ninh mạng
Các nguy cơ tấn công đối với hệ thống:
 Có cấu trúc (structured threat)
 Không cấu trúc (unstructured thread)
 Từ bên ngoài (external threat)
 Từ bên trong (internal threat)

5. Xâm nhập – Khái niệm
 Xâm nhập (intrusion): các hành động phá
vỡ tính an toàn bảo mật để truy nhập vào
hệ thống thông tin
 Lạm dụng (misuse): các hành động
không hợp lệ nhằm sử dụng, tác động
đến tài nguyên bên trong của tổ chức
 Phát hiện xâm nhập: tiến trình nhằm
phát hiện các xâm nhập vào bên trong hệ
thống

6. Xâm nhập – Hình thức
 Tấn công Website (Web application
attack)
 Truy nhập không được ủy quyền đến tài
nguyên hệ thống:
 Password cracking
 Scanning ports and services
 Spoofing e.g. DNS spoofing
 Network packet listening
 Stealing information
 Unauthorized network access
 Uses of IT resources for private purpose

7. Xâm nhập – Hình thức
 Tác động không được ủy quyền đến tài
nguyên hệ thống:
 Falsification of identity
 Information altering and deletion
 Unauthorized transmission and creation of data
 Configuration changes to systems and n/w
services
 Từ chối dịch vụ (DoS/DDoS)
 Ping flood/Mail flood
 Buffer overflow
 Remote system shutdown

8. Kịch bản xâm nhập
Thu thập
thông tin mức
sâu
Tấn công
Xâm nhập
thành công
Hưởng thành
quả & giải trí
Thu thập
thông tin

9. Giải pháp bảo mật truyền thống
FirewallPassword
Protection
Antivirus
VPN
Security
Không phát hiện ra
các tấn công và
ngăn chặn chúng
Vẫn bị can thiệp
giữa đường truyền
Có thể bị mất,
bị dò và bị thay
đổi
Antivirus chỉ hoạt
động tốt với những
virus đã biết
IDS

10. Hệ thống IDS
 IDS (Intrusion Detection System) là hệ
thống giám sát lưu thông mạng (có thể là
một phần cứng hoặc phần mềm), có khả
năng nhận biết những hoạt động khả nghi
hay những hành động xâm nhập trái phép
trên hệ thống mạng trong tiến trình tấn
công (FootPrinting, Scanning, Sniffer…),
cung cấp thông tin nhận biết và đưa ra cảnh
báo cho hệ thống, nhà quản trị.

11. Các chức năng của IDS
1
2
3
IDS
1. Nhận diện
- Các nguy cơ có thể xảy ra
- Các hoạt động thăm dò hệ thống
- Các yếu khuyết của chính sách bảo mật
2. Ghi nhận thông tin, log để phục vụ
cho việc kiểm soát nguy cơ
- Ghi lại và lưu giữ log các sự kiện khả
nghi xảy ra
- Báo cáo cho quản trị hệ thống
3. Ngăn chặn vi phạm chính sách bảo
mật

12. Yêu cầu đối với IDS
Chính xác
Hiệu năng
Trọn vẹn
Mở rộng
Chịu lỗi
4. Phải có khả
năng chống lại
và hoạt động tốt
khi bị tấn công
5. Phải có khả
năng xử lý trong
trạng thái xấu
nhất mà không
bỏ sót thông tin,
trong các kiến
trúc mạng lớn
1. Không xem
những hành động
thông thường là
những hành động
bất thường, lạm
dụng (low rate of
false positive
alert)
2. Phát hiện xâm
nhập trái phép
trong thời gian
thực
3. Không được
bỏ qua xâm
nhập trái phép
nào (no false
negative
instances)

13. Ma trận trạng thái của IDS
Sự kiện khi một thông điệp thông
báo hệ thống phát hiện một hành
động xâm nhập thật sự
TRUE-POSITIVE FALSE-POSITIVE
FALSE-NEGATIVETRUE-NEGATIVE
Ma trận tiêu chuẩn true-false của IDS.
Sự kiện khi một thông điệp thông
báo hệ thống phát hiện một hành
động xâm nhập nhưng lại không
phải là xâm nhập thật sự.
Sự kiện khi hệ thống không
sinh ra thông điệp thông báo
và không có hành động xâm
nhập thật sự.
Sự kiện khi hệ thống không
sinh ra thông điệp thông báo
trong khi có hành động xâm
nhập thật sự đang diễn ra.

14. Các thành phần của IDS
Sensor/Agent
• Giám sát & phân tích các hoạt động
• Sensor/NIDS; Agent/HIDS
Management
Server
Database
• Thiết bị trung tâm thu nhận các thông
tin từ Sensor/Agent và quản lý chúng
• Lưu trữ thông tin từ Sensor/Agent, từ
Management Server
Console
• Giao diện quản trị cho IDS user/Admin

15. Tiến trình xử lý của IDS

16. Ví dụ IDS

17. Phương pháp nhận diện
so sánh các dấu hiệu của
đối tượng quan sát với các
dấu hiệu của các mối nguy
hại đã biết
so sánh định nghĩa của
những hoạt động bình
thường và đối tượng
quan sát nhằm xác định
các độ lệch (threshold
detection & statistical
measures).
so sánh các profile định trước
của hoạt động của mỗi giao
thức được coi là bình thường
với đối tượng quan sát từ đó
xác định độ lệch.
Signature-base Abnormaly-base Stateful Protocol
Analysis
Có thể chia làm ba phương pháp
nhận diện chính là: Signature-base
Detection, Anormaly-base Detection
và Stateful Protocol Analysis

18. Các mô hình hệ thống IDS
HIDS (Host-based Intrusion Detection System)
NIDS (Network-based Intrusion Detection
System)
DIDS (Distributed Intrusion Detection System)
Wireless IDS (WIDS)
NBAS (Network Behavior Analysis System) &
HoneyPot IDS
Hệ thống IDS có thể triển khai theo các mô hình sau (phụ thuộc vào qui
mô, phạm vi, tính chất của hệ thống, lớp mạng cần bảo vệ).

19. Các mô hình IDS
HIDS (Host-based IDS): Tập trung &
Phân tán
Giám sát:
 Các gói tin đi vào
 Các tiến trình.
 Các entry của Registry.
 Mức độ sử dụng CPU.
 Kiểm tra tính toàn vẹn
và truy cập trên hệ thống file.

20. Mô hình IDS - HIDS
Lợi thế
 Xác đinh user liên
quan tới một event.
 Phát hiện các cuộc tấn
công diễn ra trên một
máy.
 Phân tích các dữ liệu
mã hoá.
 Cung cấp các thông
tin về host trong lúc
cuộc tấn công diễn ra
trên host này.
Hạn chế
 Khi bị tấn công, thông tin
không còn tin cậy.
 Phải được thiết lập trên
từng host cần giám sát
(Agent).
 Không có khả năng phát
hiện các cuộc dò quét
mạng (Nmap, Netcat…).
 Có thể không hiệu quả
khi bị DOS.

21. Các mô hình IDS
NIDS (Network-based Intrusion
Detection System)
Thiết lập Sensor kiểu Inline Thiết lập Sensor kiểu passive

22. Mô hình IDS - NIDS
Lợi thế
 Quản lý được cả một
network segment
 Trong suốt với người sử
dụng lẫn kẻ tấn công
 Cài đặt và bảo trì đơn giản,
không ảnh hưởng tới mạng
 Tránh DoS ảnh hưởng tới
một host nào đó
 Có khả năng xác định lỗi ở
tầng Network (Mô hình
OSI)
 Độc lập với OS
Hạn chế
 Có thể phát sinh False positive
 Không thể phân tích các traffic đã
được mã hóa
 Phải được cập nhật các signature
mới nhất
 Có độ trễ giữa thời điểm bị tấn
công với thời điểm phát báo động.
 Không cho biết việc attack có
thành công hay không.
 Giới hạn băng thông
 Có thể xảy ra hiện tượng nghẽn cổ
chai khi lưu lượng mạng hoạt động
ở mức cao.

23. Các mô hình IDS
DIDS (Distributed Intrusion Detection
System)

24. Các mô hình IDS
WIDS (Wireless Intrusion Detection
System)

25. Các mô hình IDS
NBAS(Network Behavior Analysis
System): là một NIDS nhận diện các nguy cơ tạo
ra các luồng dữ liệu bất thường trong mạng

26. SNORT
Phát triển năm 1998 bởi Sourcefire và
CTO Martin Roesch
Phần mềm mã nguồn mở
Với hơn 3,7 triệu lượt tải về và hơn
250 ngàn người dùng đăng ký
Hoạt động:
 Packet Sniffer
 Packet logger
 IDS/IPS
 Inline (Linux)

27. Các thành phần của Snort
Packet Sniffer
Preprocessor

28. Các thành phần của Snort
Detection Engine

29. Các thành phần của Snort
Logging và Alerting System
Output Modules

30. Kiến trúc Snort
Kiến trúc chung của Snort

31. Snort Rule
Cấu trúc của Rule:
Ví dụ:
Cấu trúc của Rule Header:

32. WinIDS - Snort

33. Hệ thống IPS thực tế

34. Share & Success Together!