1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Điện - Điện Tử - Viễn Thông

Luận văn Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng

Download
ĐẠI HỌC QUỐC GIA HÀ NỘI  
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ  
NGUYỄN PHƯƠNG CHÍNH  
GIẢI PHÁP PHÁT HIỆN VÀ  
NGĂN CHẶN TRUY CẬP TRÁI PHÉP  
VÀO MẠNG  
LUẬN VĂN THẠC SĨ  
Nội – 2009  
LI CẢM ƠN  
Li đầu tiên, tôi xin chân thành cảm ơn PGS. TS Nguyễn Văn Tam, Viện công  
nghệ thông tin, người đã gợi ý đề tài và tn tình hướng dn cho tôi hoàn thành luận văn  
cao hc này.  
Tôi cũng xin gửi li cảm ơn chân thành tới Phòng đào to sau đi hc và các thy  
cô giáo trong khoa Công ngh- Trường Đại Hc Công Ngh- Đại Hc Quc Gia Hà  
Nội đã ging dy, truyền đt và tạo điu kin hc tp tt nht cho tôi sut quá trình hc  
cao hc cũng như thời gian thc hin luận văn cao học.  
Hà Ni, tháng 06 năm 2009  
Nguyễn Phương Chính  
I
MC LC  
LI CẢM ƠN  
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU  
MỤC LỤC  
MỞ ĐẦU.....................................................................................................................1  
Đặt vấn đ................................................................................................................1  
Nội dung của đề tài ..................................................................................................1  
Cấu trúc luận văn .....................................................................................................2  
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IPS ......................................................3  
1.1 Lịch sử ra đời .......................................................................................................3  
1.2 Hệ thống IDS.........................................................................................................4  
1.2.1 Một hệ thống IDS bao gồm các thành phần .....................................................4  
1.2.2 Phân loại các hệ thống IDS..............................................................................5  
1.2.2.1 Network-based Intrusion Detection System (NIDS) ..................................5  
1.2.2.2 Host-based Intrusion Detection System (HIDS) ........................................7  
1.2.2.3 Hybrid Intrusion Detection System ...........................................................8  
1.3 Hệ thống IPS..........................................................................................................9  
1.3.1 Phân loại IPS.................................................................................................10  
1.3.2 Các thành phần chính ....................................................................................11  
1.3.2.1 Module phân tích gói (packet analyzer)..................................................11  
1.3.2.2 Module phát hiện tấn công.....................................................................11  
1.3.2.3 Module phản ứng....................................................................................14  
1.3.3 Mô hình hoạt động ........................................................................................15  
1.3.4 Đánh giá hệ thống IPS...................................................................................17  
1.4. Kết chương .........................................................................................................18  
I
CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN  
TẤN CÔNG TRONG HỆ THỐNG IPS....................................................................21  
2.1 Tổng quan về phương pháp phát hiện bất thường.................................................21  
2.1.1 Thế nào là bất thường trong mạng?................................................................21  
2.1.2 Các nguồn dữ liệu dùng cho phát hiện bất thường .........................................22  
2.1.2.1 Network Probes ......................................................................................23  
2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) ........................23  
2.1.2.3 Dữ liệu từ các giao thức định tuyến.........................................................24  
2.1.2.4 Dữ liệu từ các giao thức quản trị mạng....................................................24  
2.1.3 Các phương pháp phát hiện bất thường..........................................................25  
2.1.3.1 Hệ chuyên gia ( Rule-based ) ..................................................................25  
2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network)..............................................27  
2.1.3.3 Máy trạng thái hữu hạn ..........................................................................31  
2.1.3.4 Phân tích thống kê...................................................................................32  
2.1.3.5 Mạng Bayes............................................................................................34  
2.2. Kết chương .........................................................................................................35  
CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KHAI  
PHÁ DỮ LIỆU..........................................................................................................36  
3.1 Khai phá dữ liệu...................................................................................................36  
3.2 Các thuật toán phát hiện bất thường trong khai pháp dữ liệu ...............................39  
3.2.1 Đánh giá chung về hệ thống ..........................................................................39  
3.2.2 Phần tử dị biệt ...............................................................................................41  
3.2.2.1 Phương pháp điểm lân cận gần nhất (NN)...............................................42  
3.2.2.2 Phương pháp pháp hiện điểm dị biệt dựa trên khoảng cách Mahalanobis 43  
3.2.2.3 Thuật toán LOF.......................................................................................44  
3.2.2.4 Thuật toán LSC-Mine .............................................................................48  
3.3 Mô hình phát hiện bất thường dựa trên kỹ thuật KPDL.......................................50  
I
3.3.1 Module lọc tin...............................................................................................51  
3.3.2 Module trích xuất thông tin ...........................................................................51  
3.3.3 Môđun phát hiện phần tử di biệt....................................................................52  
3.3.4 Module phản ứng...........................................................................................55  
3.3.5 Module tổng hợp ...........................................................................................55  
3.4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS.............................................58  
3.4.1 Giới thiệu hệ thống........................................................................................58  
3.4.2 So sánh SNORT và MINDS ..........................................................................64  
3.4.3.1 Tấn công dựa trên nội dung.....................................................................64  
3.4.3.2 Hoạt động scanning................................................................................65  
3.4.3.3 Xâm phạm chính sách ............................................................................66  
3.5 Kết chương .........................................................................................................66  
KẾT LUẬN...............................................................................................................68  
Hướng phát triển của luặn văn:...............................................................................69  
TÀI LIỆU THAM KHẢO  
II  
BNG CÁC TVIT TT, KÝ HIU  
Tviết tt  
Đầy đủ  
Tiếng Vit  
IPS  
Intrusion Prevension System Hthống ngăn chặn truy cp trái phép  
Instrusion Detection System Hthng phát hin truy cp trái phép  
IDS  
NIDS  
Network-based Intrusion  
Detection System  
Hthng phát hin truy cp cho mng  
Hthng phát hin truy cp cho máy trm  
Hthng IPS btrí bên ngoài  
HIDS  
Host-based Intrusion  
Detection System  
OOB IPS  
In-line IPS  
Out of band Intrusion  
Prevension System  
In line Intrusion Prevension Hthng IPS btrí thng hàng  
System  
UDP  
TCP  
User Datagram Protocol  
Transmission Control  
Protocol  
Giao thc truyn dliu UDP  
Giao thc truyn dliu TCP  
FTP  
File Transfer Protocol  
Domain Name Server  
Recevier Operating  
Characteristic Curve  
Denial of Service  
Giao thc truyn file FTP  
DNS  
ROC  
Dch vphân gii tên min  
Đường cong đặc trưng hoạt động  
DoS  
Tn công tchi dch vụ  
OSPF  
SNMP  
Open shortest path first  
Simple Network  
Giao thức định tuyến OSPF  
Tp hp giao thc qun lý mạng đơn giản  
Management Protocol  
Management information  
base  
MIB  
Cơ sở qun lý thông tin  
FCM  
MLP  
Fuzzy cognitive map  
Multi-layered Perceptron  
Bản đồ nhn thc mờ  
Kiến trúc nhn thức đa tầng  
SOM  
Self-Organizing Maps  
Bản đồ tchức độc lp  
II  
FSM  
Finite states machine  
Intrusion Detection Expert  
System  
Máy trng thái hu hn  
IDES  
Hthng chuyên gia phát hin truy cp  
trái phép  
NIDES  
Next Generation Intrusion  
Detection Expert System  
Thế htiếp theo ca hthng chuyên gia  
phát hin truy cp trái phép  
EMERALD Event Monitoring Enabling Hthng phát hin truy cp EMERALD  
Responses to Anomalous  
Live Disturbances  
LOF  
Local Outlier Factor  
Minnesota Intrusion  
Detection System  
Nhân tdbiệt địa phương  
MINDS  
Hthng phát hin truy cp Minnesota  
III  
THÔNG TIN HÌNH V/BNG  
Hình v/bng  
Trang  
Hình 1.1 : Hthng Network-based Intrusion Detection  
Hình 1.2 : Hthng Host-based Intrusion Detection  
Hình 1.3: Hthng Hybrid Intrusion Detection  
Hình 1.4 : Mô hình thêm luật phương pháp phát hiện da trên du  
hiu  
6
8
9
12  
Hình 1.5: Mô hình thêm luật phương pháp phát hiện da trên phát  
hin bất thưng  
13  
Hình 1.6 : Mô hình hoạt đng ca hthng IPS  
Hình 1.7 : Minh họa đường cong ROC  
15  
18  
26  
27  
29  
30  
30  
31  
40  
41  
43  
Hình 2.1: Mô hình hthng phát hin bất thưng da trên tp lut  
Hình 2.2: Mô hình mạng nơron  
Hình 2.3: Cu trúc mt hthng phát hin bất thường sdng SOM  
Hình 2.4: Công thc chun hóa dliệu đu vào  
Hình 2.5: Thiết kế ca mng SOM  
Hình 2.6: Mô hình FSM cho kết ni TCP  
Hình 3.1: Gán giá trị để lưng hóa các cuc tấn công trên sơ đồ  
Hình 3.2: Minh ha bài toán phát hin phn tdbit.  
Hình 3.3: Minh họa phương pháp điểm lân cn gn nht phát hin  
phn tdbit.  
Hình 3.4: Ưu đim của phương pháp dựa trên khong cách  
Mahalanobis khi tính các khong cách.  
44  
Hình 3.5: Ví dkhong cách R-dis (reach-dist)  
Hình 3.6: Ưu đim của phương pháp LOF  
Hình 3.7: Thut toán LSC-Mine  
45  
47  
50  
50  
Hình 3.8: Mô hình hthng phát hin bất thưng sdng kthut  
KPDL  
Hình 3.9: Đường cong ROC ca các thut toán  
54  
III  
Hình 3.10: Mô thoạt động của môđun tổng hp  
Hình 3.11: Mô hình hoạt đng ca hthng MINDS  
Hình 3.12: Bng kết quả đầu ra ca hthng MINDS – cột đu tiên là  
giá trbất thưng  
56  
59  
62  
Bng 3.1: Danh sách các cảnh báo chưa rút gọn  
Bng 3.2: Danh sách các cảnh báo sau khi đã rút gn  
Bng 3.3: Những đặc điểm chn “da trên thi gian”  
Bng 3.4: Những đặc điểm chn “da trên kết ni”  
57  
58  
60  
60  
1
MỞ ĐẦU  
Đặt vấn đề  
Vấn đề an toàn, an ninh mng không mới nhưng càng ngày càng trở nên quan  
trng cùng vi sphát trin theo chiu rng và chiu sâu ca xã hi thông tin. Ly ví  
dụ đơn giản như gần đây rất nhiu trang web, các hthng mng Vit Nam bhacker  
tn công gây hu quả đặc bit nghiêm trọng. Hơn nữa các cuc tn công hin nay ngày  
mt tinh vi, phc tp và có thể đến tnhiều hướng khác nhau. Trước tình hình đó các  
hthng thông tin cn phi có nhng chiến lược, nhng gii pháp phòng ththeo  
chiu sâu nhiu lp.  
IPS (Intrusion Prevension System – Hthống ngăn chặn truy nhp trái phép) là  
mt hthng có khả năng phát hiện trước và làm chệch hướng nhng cuc tn công  
vào mạng. IPS đáp ứng được yêu cu là mt hthng phòng thchiến lược theo chiu  
sâu, nó hoạt động dựa trên cơ sở thu thp dliu mng, tiến hành phân tích, đánh giá,  
từ đó xác định xem có du hiu ca mt cuc tấn công hay không để đưa ra các cảnh  
báo cho các nhà qun trmng hoc tự đng thc hin mt sthao tc nhằm ngăn chặn  
hoc chm dt tn công.  
Các hthng IPS hiện nay có hai hướng tiếp cn chính là da trên du hiu và  
da trên phát hin bất thường. Đối với hướng da trên du hiu, hthng ssdng  
các mu tn công tcác ln tấn công trước tiến hành so sánh để xác định dliệu đang  
xét có phi là mt cuc tấn công không, hướng này được sdụng tương đối rng rãi  
nhưng có điểm yếu là chphát hiện được các dng tấn công đã biết trước. Đối vi  
hướng da trên phát hin bất thường, hthng sxây dng các hồ sơ mô tả trng thái  
bình thường, từ đó xét được một hành động là bất thường nếu các thông số đo được  
ca hành động đó có độ khác biệt đáng kể vi mc “bình thường”. Hướng tiếp cn này  
có nhiều ưu điểm hơn cách tiếp cn da trên du hiu do nó có khả năng phát hiện ra  
các cuc tn công mi.  
Ni dung của đề tài  
Xut phát tvấn đề nêu trên, ni dung của đề tài sbao gm nhng vấn đề sau:  
2
Nghiên cu, tìm hiu các vấn đề tông quan vhthng IPS bao gm phân loi,  
chức năng cơ bản và hoạt động, các hướng phát trin.  
Tìm hiu hthng IPS da trên phát hin bất thường, phân tích ưu nhược điểm  
của hướng tiếp cn này. Nghiên cu các kthuật được sdụng như: Phân tích  
thng kê, mng Neutral, Hchuyên gia, Máy trng thái hu hn, Khai phá dữ  
liu ….  
Nghiên cu cthmt kthut sdng trong phát hin bất thường đó là kỹ thut  
Khai phá dliệu (data mining). Đưa ra các đánh giá, so sánh hệ thng sdng kỹ  
thut nay so vi các kthut khác.  
Cu trúc luận văn  
Luận văn sẽ được chia thành 3 chương chính dựa vào ni dung nêu trên:  
Chương 1: Giới thiu tng quan vhthng IPS , nhng thành phn và chc  
năng chính của hthng.  
Chương 2: Tìm hiểu các phương pháp phát hiện tn công da trên phát hin bt  
thường đang được áp dng hiện nay như: Phân tích thống kê, Mng Neutral, Hệ  
chuyên gia….  
Chương 3: Tìm hiu vkthut Khai phá dliu cũng như hệ thng IPS có sử  
dng phương pháp phát hiện bất thưng ng dng khai phá dliu.  
3
CHƯƠNG 1. TNG QUAN VHTHNG IPS  
1.1 Lch sử ra đời  
Hthống Firewall (tường la) cổ điển đã được ng dng trong hthng mạng để  
bo vmng khi các cuc tn công hoc truy nhp trái phép trt lâu. Tuy nhiên  
trong quá trình hoạt động Firewall đã thhin nhiều nhược điểm chu.  
Thnht, hthng Firewall là mt hthng thụ đng, Firewall hoạt động trên cơ  
scác tp lut, các lut trên Firewall phải được người qun trcu hình hay chỉ định  
cho phép hay không cho phép gói tin đi qua. Bản thân hthng Firewall không thể  
nhn biết được các mi nguy hại đến tmng mà nó phải được người qun trmng  
chra thông qua vic thiết lp các luật trên đó.  
Thhai, Hthng Firewall hoạt động chyếu lp mng trxung, Firewall  
ngăn chặn các truy nhập thông qua các trường địa chỉ IP đích và nguồn, các cng dch  
v(TCP/UDP), mt sFirewall còn ngăn chặn lp vật lý thông qua địa chMAC  
Address. Như vậy, các thông tin mà Firewall dùng để ngăn chặn các truy nhp là ở  
trong phần tiêu đề ca gói tin, Firewall cổ điển không thể đọc thông tin trong phn ti  
của gói tin (Pay Load) là nơi chứa nội dung thông tin được truyền đi, nơi tiềm n các  
mã nguy him gây hi cho hthng.  
Thba, do không có khả năng đọc ni dung gói tin nên hthng Firewall chcó  
khả năng bảo vvòng ngoài ca hthng, bn thân nó không có khả năng chống các  
cuc tn công xut phát tbên trong mng.  
Trong bi cảnh đó, IDS ra đời như là một sbsung cho hthng Firewall cổ  
điển. IDS có khả năng bắt và đọc gói tin, phân tích gói tin để phát hiện ra các nguy cơ  
tn công tim n trong ni dung ca gói tin. Tuy nhiên IDS li chsinh ra các cnh báo  
cho hthng hoặc cho người qun trmng, có nghĩa hoạt động IDS chmang tính  
cht cnh báo và trợ giúp thông tin cho người qun trmạng, căn cứ trên các thông tin  
cnh báo vbo mật, người qun trmng phi tiến hành ra lệnh cho Firewall ngăn  
chn cuc tấn công. Như thế bn thân hthng IDS vn là mt hthng thụ đng.  
IDS là sbsung cn thiết cho hthng an ninh cổ điển, tuy nhiên nó chưa triệt  
để, do đó người ta phi kết hp hoạt đng ca IDS vi hthống Firewall đto ra mt  
4
hthng an ninh có khả năng phát hiện du hiu các cuc tn công và chủ động ngăn  
chn các cuc tn công đó. Hthng như vậy được biết đến vi cái tên hthống ngăn  
chn truy nhp IPS. Các phn tiếp theo strình bày vcu trúc cũng như hoạt động  
ca hthng IDS và IPS.  
1.2 Hthng IDS  
IDS là tviết tt tiếng anh ca Intrusion Detection System hay còn gi là hệ  
thng phát hin các truy nhp trái phép. IDS có nhim vrà quét các gói tin trên mng,  
phát hin các truy nhp trái phép, các du hiu tn công vào hthng từ đó cảnh báo  
cho người qun trhay bphận điều khin biết về nguy cơ xảy ra tn cống trước khi  
xy ra.  
Mt hthng phát hin các truy nhp trái phép có khả năng phát hin tt ccác  
lung dliu có hi tmng vào hthng mà các Firewall không thphát hiện được.  
Thông thường các cuc tn công trên mng thuc các kiu tn công: tchi dch v,  
phá hoi các dliu trên các ng dng, các cuc tn công vào máy trạm như thay đổi  
quyền trên máy, đăng nhập bt hp pháp và truy nhp vào các tp tin nhy cm hoc là  
các loại Virus, Trojan, Worm độc hi khác.  
1.2.1 Mt hthng IDS bao gm các thành phn  
Bphát hin (Sensor): Là bphn làm nhim vphát hin các skin có khả  
năng đe dọa an ninh ca hthng mng, bphát hin có chức năng rà quét nội  
dung ca các gói tin trên mng, so sánh ni dung vi các mu và phát hin ra các  
du hiu tn công hay còn gi là skin.  
Bgiao din (Console):Là bphn làm nhim vgiám sát các skin, các cnh  
báo được phát hin và sinh ra từ các Sensor và điều khin hoạt động ca các bộ  
Sensor.  
Bxlý (Engine): Có nhim vghi li tt ccác báo cáo vcác skiện được  
phát hin bi các Sensor trong một cơ sở dliu và sdng mt hthng các  
luật để đưa ra các cảnh báo trên các skin an ninh nhận đưc cho hthng hoc  
cho người qun tr.  
Như vậy, hthng IDS hoạt động theo cơ chế “phát hin và cnh báo”. Các  
Sensor là bphận được btrí trên hthng ti những điểm cn kim soát, Sensor bt  
5
các gói tin trên mạng, phân tích gói tin để tìm các du hiu tn công, nếu gói tin có du  
hiu tn công, Sensor lp tức đánh dấu đấy là mt skin và gi báo cáo kết quvề  
cho Engine, Engine ghi nhn tt ccác báo cáo ca tt cả các Sensor, lưu các báo cáo  
vào trong cơ sở dliu ca mình và quyết định đưa ra mức cảnh báo đối vi skin  
nhận được. Console làm nhim vgiám sát các skin và các cnh báo, đồng thi  
điều khin hoạt đng ca các Sensor.  
Các mu (Signatures): Các Sensor hoạt động theo cơ chế “so sánh vi mu”,  
các Sensor bt các gói tin trên mạng, đọc ni dung gói tin và so sánh các xâu trong ni  
dung gói tin vi hthng các mu tín hiu nhn biết các cuc tn công hoc mã độc  
gây hi cho hthng, nếu trong ni dung gói tin có mt xâu trùng vi mu, Sensor  
đánh dấu đó là một skin bình thường hay đã có du hiu ca stn công từ đó sinh  
ra cnh báo. Các tín hiu nhn biết các cuc tấn công được tng kết và tp hp thành  
mt bgi là mẫu hay signatures. Thông thường các mẫu này được hình thành da  
trên kinh nghim phòng chng các cuc tấn công, người ta thành lp các trung tâm  
chuyên nghiên cứu và đưa ra các mẫu này để cung cp cho hthng IDS trên toàn thế  
gii.  
1.2.2 Phân loi các hthng IDS  
Có nhiu mô hình và cách để phân loi các hthng IDS, có thda theo loi và  
vị trí đặt ca các Sensor hoặc phương pháp sử dng của Engine để sinh ra các cnh  
báo. Hu hết các IDS đơn giản đều kết hp ba thành phn Sensor, Console, Engine vào  
trong mt thiết bphn cng hoc mt ng dng.  
1.2.2.1 Network-based Intrusion Detection System (NIDS)  
Network-based Instrusion Detection System (Hthng phát hin truy nhp cho  
mng) là mt giải pháp độc lập để xác định các truy nhp trái phép bng cách kim tra  
các lung thông tin trên mng và giám sát nhiu máy trm, Network Instrusion  
Detection Systems truy nhp vào lung thông tin trên mng bng cách kết ni vào các  
Hub, Switch được cu hình Port mirroring hoặc Network tap để bt các gói tin, phân  
tích ni dung gói tin và từ đó sinh ra các cảnh báo.  
6
Hình 1.1: Hthng Network-based Intrusion Detection  
Port mirroring được sdng trong mt switch mạng để gi mt bn sao ca tt  
ccác gói tin trên mạng khi nó đi qua cổng ca Switch ti mt thiết bgiám sát mng  
trên cng khác của Switch đó. Nó thường được sdụng đcác thiết bmng cn giám  
sát lung trên mng, ví dhthng IDS, Port mirroring trên Switch ca Cisco System  
thường được gi là Switched Port Analyzer (SPAN) hoc ca 3Com là Roving  
Analysis Port (RAP).  
Network tap là mt thiết bphn cng cung cấp phương tiện để truy nhp vào  
lung dliệu đi ngang qua một máy tính mng. Các máy tính mng bao gm cả  
Internet là mt tp hp các thiết bị như máy tính, router, switch và nối vi các hệ  
thng khác. Các kết ni có thể được to ra bng nhiu công nghệ khác nhau như là  
Etherenet, 802.11, FDDI và ATM. Trong nhiều trường hợp nó được xem như là một  
thành phn thứ 3 để giám sát lung dliệu trao đổi giữa hai điểm trên mạng, điểm A  
và đim B. Nếu mng giữa điểm A và điểm B cha mt kết ni vt lý, mt network tap  
là gii pháp tt cho vic giám sát. Network tap có ít nht là 3 cng kết ni, mt cng  
A, mt cng B, và mt cổng giám sát. Để đặt Network tap giữa điểm A và điểm B, cáp  
mng giữa hai điểm A, B được thay thế bng mt cp dây, một dây đấu vào cng A và  
dây kia đấu vào cng B. Network tap cho qua tt ccác dliu gia A và B vì thế giao  
tiếp gia hai điểm A và B vn din ra bình thường, tuy nhiên dliệu trao đổi đã bị  
Network tap sao chép và đưa vào thiết bgiám sát thông qua cng giám sát.  
7
Trong hthng Network-based Intrusion Detection System (NIDS), các Sensor  
được đặt ở các điểm cn kim tra trong mạng, thường là trước min DMZ hoc vùng  
biên ca mng, các Sensor bt tt cả các gói tin lưu thông trên mạng và phân tích ni  
dung bên trong ca từng gói tin để phát hin các du hiu tn công trong mng.  
Theo chức năng sdng, hthng NIDS còn được phân thành hai hthng nhỏ  
đó là Protocol-based Intrusion Detection System (PIDS – Hthng phát hin truy cp  
da trên giao thc) và Application Protocol-based Intrusion Detection System (APIDS  
– Hthng phát hin truy nhp da trên ng dng). PIDS và APIDS được sdụng để  
giám sát các giao vn và giao thc không hp lhoc không mong mun trên lung dữ  
liu hoc hn chế các ngôn nggiao tiếp. Hthng Protocol-based Intrusion Detection  
System (PIDS) cha mt hthng (System) hoc mt thành phn (Agent) thường  
được đặt ngay trước mt máy ch, giám sát và phân tích các giao thức trao đổi gia  
các thiết bị đưc ni mng (Mt máy trm hoc mt hthng).  
Mt hthng Application Protocol-based Intrusion Detection System (APIDS)  
bao gm mt hthng (System) hoc mt thành phần (Agent) thường nm gia mt  
nhóm các máy chủ, giám sát và phân tích các trao đổi lp ng dng ca mt giao  
thức định sn. Ví d; trên mt máy chweb vi một cơ sở dliu thì nó giám sát giao  
thức SQL để ngăn chặn các truy nhp vào ng dụng khi trao đổi với cơ sở dliu.  
1.2.2.2 Host-based Intrusion Detection System (HIDS)  
Trong hthng HIDS (Hthng phát hin truy nhp da trên máy trm), các  
Sensor thường thường là mt phn mm trên máy trm (Software agent), nó giám sát  
tt ccác hoạt đng ca máy trm mà nó nằm trên đó.  
Hthng Host-based Intrusion Detection System bao gm thành phn (Agent)  
cài đặt trên các máy trạm, nó xác định các truy nhp trái phép vào hthng bng cách  
phân tích các trao đổi ca hthng, các bn ghi ca các ng dng, ssửa đổi các tp  
tin trên hthng (Các file dng binary, mt khu của file, dung lượng và các acl ca  
các cơ sở dliu) các hoạt động và trng thái khác ca hthống để từ đó phát hiện ra  
các du hiu truy nhp trái phép vào hthng. Khi phát hin ra các truy nhp trái phép,  
Agent lp tc sinh ra mt skin và gi báo cáo về Engine, Engine lưu các báo cáo  
8
của Agent vào cơ sở dliu và tiến hành phân tích thông tin để đưa ra các cảnh báo  
cho người qun trhoc hthng.  
Hình 1.2: Hthng Host-based Intrusion Detection  
1.2.2.3 Hybrid Intrusion Detection System  
Hybrid Intrusion Detection System là mt hthng lai gia hthng Network-  
based IDS và Hthng Host-based IDS. Nó kết hp mt hoc nhiu các thành phn  
thích hp ca hai hthng li vi nhau. Các thông tin thu thập được trên máy trm  
(Host agent data) kết hp vi thông tin thu thập được trên mạng để có được sphân  
tích mt cách chi tiết vhin trng hthng mng.  
9
Hình 1.3: Hthng Hybrid Intrusion Detection  
1.3 Hthng IPS  
IPS là viết tt tiếng anh của Intrusion Prevention System hay thường được gi là  
hthống ngăn chặn truy nhp trái phép.  
Hin nay, hthống IDS/IPS đã được trin khai rng rãi trên toàn thế gii, với đặc  
điểm mô hình triển khai đơn giản, cách thc phát hin các truy nhp hiu quả đã góp  
phần nâng cao độ tin cy ca hthng an ninh.  
IPS là hthng kết hp gia hthng IDS và hthng Firewall, nó có ba thành  
phần chính đó là: Hệ thng Firewall, hthng IDS và thành phn trung gian kết ni  
hai hthng trên li vi nhau.  
Firewall: là thành phn bo vhthng mng ở vùng biên, Firewall căn cứ trên  
tp luật mà nó được thiết lp từ trước để xác định cho phép hay không cho phép các  
gói tin được hay không được phép đi qua nó.  
IDS: làm nhim vrà quét tt cả các gói tin trước khi hoặc sau khi đi vào mạng,  
đọc ni dung gói tin, phát hin ra các du hiu tn công chứa đựng trong gói tin, nếu  
phát hin có du hiu tn công, nó sinh ra cnh báo cho hthng.  
Thành phn trung gian kết ni: Thành phn trung gian kết ni nhn các cnh báo  
và thông tin đưa ra từ hthng IDS, phân tích mức độ cnh báo, tiến hành tác động lên  
hthống Firewall để cu hình li tp luật trên đó nhằm ngăn chặn các cuc tn công.  
10  
Như vậy, hthng IPS là mt hthng chủ động, có khả năng phát hiện và ngăn  
nga các truy nhp trái phép, có khả năng ngăn chặn các cuc tấn công, các nguy cơ  
tim n trong ni dung ca gói tin. Vì vy hình thành nên mt thế hFirewall mi có  
khả năng hoạt đng lp ng dng hay còn gi là Application Layer Firewall.  
1.3.1 Phân loi IPS  
Có nhiều cách để phân loại IPS, nhưng thông thường người ta da vào kiu IDS  
được sdụng, như vậy chúng ta có các kiu IPS phbiến là NIPS (Network-based  
Intrusion Prevention System) sdng trên cmt hthng mng, HIPS (Host-based  
Intrusion Prevention System) sdng trên các máy tính riêng l, và Hybrid Intrusion  
Prevention System kết hp ca 2 hthng NIPS và HIPS.  
IPS không đơn giản chdò các cuc tn công, chúng còn khả năng ngăn chặn các  
cuc hoc cn trcác cuc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hin các  
bước để ngăn chặn li xxâm nhp. Phn ln hthống IPS được đt ở vành đai mạng,  
đủ khả năng bảo vtt ccác thiết btrong mạng. Do đó nếu phân loi theo mô hình  
trin khai scó hai kiu chính là out-of-band IPS và in-line IPS:  
Out-of-band IPS (OOB IPS): hthống IPS đứng “dạng chân” trên firewall. Như  
vy lung dliu vào hthng mng sẽ cùng đi qua firewall và IPS. IPS có thể  
kim soát lun dliu vào, phân tích và phát hin các du hiu ca sxâm nhp,  
tn công. Vi vtrí này, OOB IPS có thqun lý firewall, chdn nó chn li các  
hành động nghi ng.  
In-line IPS: Vtrí IPS nằm trước firewall, lung dliu phải đi qua chúng trước  
khi tới firewall. Điểm khác chính so vi OOB IPS là có thêm chức năng traffic-  
blocking. Điều đó làm cho IPS có thể ngăn chặn lung giao thông nguy him  
nhanh hơn so với OOB IPS. Tuy nhiên vtrí này slàm cho tốc độ lung thông  
tin qua ra vào mng chậm hơn.  
Vi mục tiêu ngăn chặn các cuc tn công, hthng IPS phi hoạt đng theo thi  
gian thc. Tốc độ họat động ca hthng là mt yếu trt quan trng. Quá trình phát  
hin xâm nhp phải đủ nhanh để có thể ngăn chặn các cuc tn công ngay lp tc. Nếu  
không đáp ứng được điều này thì các cuc tấn công đã được thc hin xong và hệ  
thng IPS là vô nghĩa.  
11  
1.3.2 Các thành phn chính  
Hthng IPS gm 3 module chính: module phân tích gói, module phát hin tn  
công ( kế tha tIDS), module phn ng. Dưới đây ta xét cụ thể các module đó:  
1.3.2.1 Module phân tích gói (packet analyzer)  
Module này có nhim vphân tích cu trúc thông tin trong các gói tin. Card  
mng (NIC) của máy giám sát được đặt chế độ “không phân bit” (promiscuous  
mode), tt cc gói tin qua chúng đều được copy li và chuyn lên lp trên. Bphân  
tích gói đọc thông tin từng trường trong gói tin, xác định chúng thuc kiu gói tin nào,  
dch vgì… Các thông tin này được chuyển đến module phát hin tn công.  
1.3.2.2 Module phát hin tn công  
Đây là module quan trọng nht trong hthng, có khả năng phát hiện các cuc  
tn công. Nó chính là hthống IDS mà chúng ta đã xem xét trên. Nó cũng chính là  
thành phn mà chúng ta áp dụng các phương pháp khác nhau để ci tin nhm nâng  
cao hiu quhoạt động. Vic nghiên cu, tìm hiểu các phương pháp nhằm tăng khả  
năng phát hiện tn công chính là mục đích chính của luận văn này. Có một số phương  
pháp để phát hin các cuc tn công, xâm nhập đó là: Misuse Detection (dò slm  
dng) và Anomaly Detection (dò skhông bình thường).  
Misuse Detection:  
Phương pháp này phân tích các hoạt động ca hthng, tìm kiếm các skin  
ging vi các mu tấn công đã biết trước. Thông thường hthng sẽ lưu trữ trong cơ  
sdliu những gói tin có liên quan đến kiu tn công từ trước dưới dng so sánh  
được, trong quá trình xlý skin sẽ được so sánh với các thông tin trong cơ sở dữ  
liu nếu ging hthng sẽ đưa ra cánh báo hoặc ngăn chặn. Các mu tn công biết  
trước này gi là các du hiu tn công. Do vy phương pháp này còn được gi là  
phương pháp dò du hiu (Signature Detection).  
12  
Hình 1.4 : Mô hình thêm luật phương pháp phát hiện da trên du hiu  
Mt sví dcho các du hiệu như: một lnh telnet cgng sdng “username”  
là “root’ để truy cập điều này trái với quy định trong các chính sách vbo mt, hay  
một thư điện tvới tiêu đề “Free pictures” và kèm theo mt tp tin “freepics.exe” nó  
hi tụ đầy đủ tính cht ca mt “malware” hoc “trojan”, thông tin bn ghi quá trình  
hoạt đng ca mt hệ điu hành có giá trlà 645, nó cho thy chức năng kiểm tra qun  
lý ca host bvô hiu hóa….  
Kiu phát hin tn công bng du hiệu có ưu điểm là phát hin các cuc tn công  
nhanh và chính xác, không đưa ra các cảnh báo sai làm gim khả năng họat động ca  
mng và giúp người qun trị xác đnh các lhng bo mt trong hthng ca mình.  
Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuc  
tn công không có trong mu, các kiu tn công mi, do vy hthng luôn phi cp  
nht các mu tn công mi dẫn đến tình trạng cơ sở dliu strnên rt lớn, hơn nữa  
du hiu càng cthcàng ít gây cnh báo nhầm nhưng lại gây khó khăn cho việc phát  
hin các biến thể như trong ví dụ ở trên nếu đối tượng tấn công thay đổi tên ca tp  
đính kèm thành “freepics2.exe” mà hthng li so sánh vi “freepics.exe” skhông  
khp với nhau nên không đưa ra cảnh báo.  
Anomaly Detection:  
Đây là kỹ thut dò thông minh bng cách nhn dạng các hành động không bình  
thường ca mng. Quan nim của phương pháp này về các cuc tn công khác so vi  
các hoạt động thông thường. Ban đầu, chúng lưu trữ các mô tả sơ lược vcác hat  
động bình thường ca hthng. Các cuc tn công scó những hành đng khác so vi  
trng thái bình thường do đó có thể nhn dạng được chúng.  
13  
Hình 1.5 : Mô hình thêm luật phương pháp phát hiện da trên phát hin bất thường  
Có mt skthut giúp thc hin dò skhông bình thường ca các cuc tn  
công như dưới đây:  
Threshold Detection (Dò theo ngưỡng): kthut này nhn mnh thut ngữ đếm  
(“count”). Các mc ngưng (threshold) vcác họat động bình thường được đặt  
ra, nếu có sbất thường nào đó như login với slần quá quy định, số lượng các  
tiến trình họat động trên CPU, số lượng mt loại gói tin được gửi vượt quá  
mc…  
Self-learning Detection (Dò thc): kthut dò này bao gồm hai bước, khi thiết  
lp hthng phát hin tn công, nó schy chế độ thc thiết lp mt profile  
về cách cư xử ca mng vi các họat động bình thường. Sau thi gian khi to,  
hthng schy chế độ sensor theo dõi các hoạt động bất thưng ca mng so  
sánh với profile đã thiết lp. Chế độ thc có thchy song song vi chế độ  
sensor để cp nht bn profile ca mình nhưng nếu dò ra tín hiu tn công thì chế  
độ thc phi dng li ti khi cuc tn công kết thúc.  
Anomaly protocol detection (Dò theo bất thường): kthut dò này căn cứ vào  
họat đng ca các giao thc, các dch vca hthống đtìm ra các gói tin không  
hp l, các họat đng bất thưng là du hiu ca sxâm nhp, tn công. Kthut  
này rt hiu qutrong việc ngăn chn các hình thc quét mng, quét cổng để thu  
thp thông tin ca các hacker.  
Phương pháp dò skhông bình thường ca hthng rt hu hiu trong vic phát  
hin các cuc tn công kiu tchi dch vụ. Ưu điểm của phương pháp này là có thể  
phát hin ra các kiu tn công mi, cung cp các thông tin hu ích bsung cho  
phương pháp dò slm dụng, tuy nhiên chúng có nhược điểm là thường to ra mt số  
lượng tương đối ln các cnh báo sai làm gim hiu sut họat động ca mng. Tuy  
14  
nhiên phương pháp này sẽ là hướng được nghiên cu nhiều hơn, hoàn thiện các nhược  
điểm, đưa ra ít cảnh báo sai để hthng chy chuẩn xác hơn. Chúng ta sẽ tìm hiu kỹ  
hơn về các phương pháp sử dụng để phát hin bất thường trong Chương 2 : Tìm hiu  
và nghiên cứu các phương pháp phát hiện tn công trong hthng IPS ” và  
Chương 3: “Phương pháp phát hiện bất thường da trên Khai phá dliu” là ni  
dung chính ca luận văn.  
1.3.2.3 Module phn ng  
Khi có du hiu ca stn công hoc xâm nhp, module phát hin tn công sẽ  
gi tín hiu báo hiu có stn công hoc xâm nhập đến module phn ứng. Lúc đó  
module phn ng skíck hot firewall thc hin chức năng ngăn chặn cuc tn công.  
Ti module này, nếu chỉ đưa ra các cảnh báo tới người qun trvà dng li ở đó thì hệ  
thống này được gi là hthng phòng thbị đng. Module phn ng tùy theo hthng  
mà có các chức năng khác nhau. Dưới đây là một skthuật ngăn chặn:  
Terminate session (Chm dứt phiên): cơ chế ca kthut này là hthng IPS gi  
gói tin reset, thiết lp li cuc giao tiếp ti cclient và server. Kết qucuc giao  
tiếp sẽ được bắt đầu li, các mục đích của hacker không đạt được, cuc tn công  
bngng lại. Tuy nhiên phương pháp này có một số nhược điểm như thời gian  
gửi gói tin reset đến đích là quá lâu so với thi gian gói tin của hacker đến được  
Victim, dẫn đến reset quá chm so vi cuc tấn công, phương pháp này không  
tác dng vi các giao thc hoạt động trên UDP như DNS, ngoài ra gói Reset phải  
có trường Sequence number đúng (so với gói tin trước đó từ client)thì server mi  
chp nhn, do vy nếu hacker gi các gói tin vi tốc độ nhanh và trường  
Sequence number thay đổi thì rt khó thc hiện được phương pháp này.  
Drop attack (Loi btn công): kthuật này dùng firewall để hy bgói tin hoc  
chặn đường một gói tin đơn, một phiên làm vic hoc mt lung thông tin gia  
hacker và victim. Kiu phn ng này là an toàn nhất nhưng lại có nhược điểm là  
dnhm vi các gói tin hp l.  
Modify firewall polices (Thay đổi chính sách tường la): kthut này cho phép  
ngưi qun trcu hình li chính sách bo mt khi cuc tn công xy ra. Vic cu  
15  
hình li là tm thời thay đổi các chính sách điều khin truy cp bởi người dùng  
đặc bit trong khi cnh báo tới người qun tr.  
Real-time Alerting (Đưa thông báo thời gian thc): gi các cnh báo thi gian  
thực đến người qun trị để hlắm được chi tiết các cuc tấn công, các đặc điểm  
và thông tin vchúng.  
Log packet (Lưu các gói tin log): Các dữ liu ca các gói tin sẽ được lưu trữ  
trong hthng các file log. Mục đích để các người qun trcó ththeo dõi các  
lung thông tin và là ngun thông tin giúp cho module phát hin tn công hot  
động.  
Ba module trên họat động theo tun tto nên hthng IPS hoàn chnh. Mt hệ  
thống IPS được xem là thành công nếu chúng hi tụ được các yếu t: thc hin nhanh,  
chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cm biến  
tối đa, ngăn chặn thành công và chính sách qun lý mm do.  
1.3.3 Mô hình hoạt động  
Tcu to ca IPS ta có ththy mô hình hoạt động ca mt hthng IPS bao  
gồm 5 giai đoạn chính: Giám sát, Phân tích, Liên lc, Cnh báo và Phn ng.  
Giám sát  
Phân tích  
Liên lc  
Phn ng  
Cnh báo  
Hình 1.6 : Mô hình hoạt đng ca hthng IPS.  
16  
Giám sát: có nhim vthu thp các thông tin về lưu thông trên mạng, công vic  
sẽ do các Sensor đảm nhim. Kết quca quá trình này sẽ là các thông tin đầy đủ  
vtrng thái ca toàn mạng. Nhưng nhìn chung chúng ta thường khó có ththu  
thập được một lượng thông tin toàn diện như vậy vì nó stiêu tn rt nhiu tài  
nguyên do đó người ta thường thu thp thông tin theo thi gian nghĩa là thu thp  
liên tc trong mt khong thi gian hoc thu thp theo tng chu kì nhất đnh.  
Phân tích: đây chính là giai đoạn thiết yếu nht trong mt hthng IPS. Sau khi  
thu thp thông tin hthng stiến hành phân tích tùy theo môi trường mng có  
các cách phân tích khác nhau. Nhưng nói chung hệ thng sxem xét trong lung  
những thông tin thu được nhng du hiu khả nghi để đưa ra cảnh báo. Như đã  
biết ở trên có 2 cách chính để phát hin du hiu khả nghi là đối sánh mu và  
phân tích hành vi bất thưng.  
Liên lạc: giai đoạn này cũng là một giai đoạn quan trng trong hthống, nó đảm  
bo các thành phần trao đổi thông tin được vi nhau khi cn thiết như gửi các  
thông tin khi phát hin tn công cho bphận đưa ra cảnh báo hoc gi các thông  
tin vcu hình.  
Cnh báo: kết thúc quá trình phân tích nếu hthng nhn thấy được du hiu tn  
công sẽ đưa ra các cảnh báo cho hthng. Các cnh bảo như: một máy ctruy  
cp vào một máy không được phép hoc sdụng các account như “root” từ ngoài  
mng hay sdng các dch vkhông hp l…  
Phn ng: sau khi nhận được các cnh báo hthng IPS sẽ đưa ra các phản ng  
ca riêng mình mà không cần đợi qun trmạng đảm bo kp thời ngăn chặn và  
gim thiu tối đa những tác động do các cuc tn công gây ra. Các phn ng ca  
IPS thường là:  
o Ngt kết ni mng hoc phiên làm vic của người dùng được sdng  
cho hành động tn công.  
o Khóa quyn truy cập đến đối tượng đích từ tài khoản ngưi dùng gây tn  
công, khóa địa chIP…  
o Khóa tt ccác quyn truy cp vào đối tượng đích, các dịch v, các ng  
dng và các tài nguyên khác.  
17  
o Các IPS tiên tiến còn có khả năng thay đổi môi trường bo mật như thay  
đổi cu hình sang mt loại điều khin bo mật khác để ngăn chặn tn  
công.  
o Các IPS cũng có thể thay thế ni dung tn công bng cách loi bcác  
phn mã nguy him trong gói tin…  
1.3.4 Đánh giá hệ thng IPS  
Để đánh giá chất lượng hthống IPS người ta đưa ra các định nghĩa:  
False Positive: Hthng sinh ra các cnh báo khi các lung dliu bình thường  
đi qua, không có tấn công. Loi cnh báo này là không thtránh khi nếu quá  
nhiu sgây nhiu.  
True Positive: Hthng sinh ra các cnh báo khi các cuc tn công thc sdin  
ra. Càng nhiu cnh bào này hthộng IPS càng được đánh giá cao đây là mục  
tiêu hàng đầu để ci tiến hthng.  
False Negative: có ý nghĩa ngược vi False Positive, cnh báo xy ra khi hệ  
thng không nhận ra được các cuc tn công, nguyên nhân có thdo thông tin về  
dng tấn công chưa được biết. Các cnh bảo này được các hthng IPS cgng  
ti thiu hóa.  
True Negative: Các lung dliu bình thường đi qua và hệ thng không sinh  
cnh báo.  
Đánh giá các hệ thống IPS người ta chyếu da vào 2 thông sFalse Positive (  
cnh báo sai ), True Positive ( cảnh báo đúng ), dùng tỷ lca 2 yếu tnày chúng  
ta có thxây dựng nên đường cong ROC ( Recevier Operating Characteristic  
Curve).  
18  
Hình 1.7 Minh họa đưng cong ROC.  
1.4. Kết chương  
Phát hin truy cp trái phép là tiến trình theo dõi skin xy ra trong hthng  
máy tính hoc mạng và phân tích chúng để tìm ra nhng du hiu ca các mi nguy  
him có thxy ra, chúng vi phm hoc sp vi phm các chính sách bo mt ca hệ  
thống máy tính, các chính sách được chp nhn sdng, hoc các chun bo mt  
thông thường. Ngăn chặn truy cp trái phép là tiến trình hot động bao gm cphát  
hin truy cp và cgắng ngăn chặn nhng mi nguy hiểm được phát hin. Hthng  
ngăn chặn truy cp trái phép tp trung chyếu vào vic phát hin các mối đe dọa có  
thể đối vi hthng, ghi li thông tin vchúng, cgắng ngăn chặn và thông tin cho  
ngưi qun trmng. Ngoài ra IPS còn được sdng cho các mục đích khác như phát  
hin các li trong chính sách bo mt, lp tài liu các mối đe dọa đã biết, cn trở  
nhng cá nhân vi phm chính sách bo mật. IPS đang ngày càng trnên cn thiết và là  
mt thành phn bo mt không ththiếu trong các hthng.  
Có nhiu loi IPS khác nhau phthuc vào loi ca các skin mà chúng có thể  
nhận ra và các phương thức chúng sdụng để phát hin các mối đe dọa. Thông thường  
ngưi ta chia IPS thành các loi : NIPS (Network-based Intrusion Prevention System)  
theo dõi và phát hin sctrên mt hthng mng, HIPS (Host-based Intrusion  
Prevention System) theo dõi và xlý sctrên các máy tính riêng l, và Hybrid  
Intrusion Prevention System kết hp ca 2 hthng NIPS và HIPS thu thp thông tin  
19  
trên máy trm kết hp vi thông tin thu thập đưc trên mạng để có được sphân tích  
mt cách chi tiết vhin trng hthng mng.  
Ngoài ra người ta còn phân loi hthng IPS da trên quá trình trin khai :  
Out-of-band IPS (OOB IPS) lung dliu vào hthng mng sẽ cùng đi qua  
firewall và IPS, IPS có thqun lý firewall, chdn nó chn lại các hành động  
nghi ng.  
In-line IPS: lung dliu phải đi qua IPS trước khi ti firewall nhờ đó có thể  
ngăn chặn lung giao thông nguy hiểm nhanh hơn so với OOB IPS, tuy nhiên sẽ  
làm cho tốc độ lung thông tin ra vào mng chậm hơn.  
Hthng IPS bao gm 3 module chính : module phân tích gói tin, module phát  
hin tn công và module phn ứng trong đó module phát hiện tn công đóng vai trò  
đặc bit, có thnói là quan trng nht. Module phát hin tấn công được cài đặt theo  
nhiều phương pháp khác nhau nhưng nhìn chung được chia thành 2 phương pháp  
chính: phương pháp phát hiện da trên du hiu ( mẫu) và phương pháp dò da trên  
phát hin bất thưng.  
Phương pháp phát hiện da trên du hiu sdng các mu tấn công đã có sn  
trong cơ sở dliu so sánh vi các du hiu hin ti nhằm xác định xem nó có phi là  
mt cuc tấn công hay không. Phương pháp này được sdng rng rãi trước đây vì nó  
có ưu điểm là cảnh báo chính xác, nhanh chóng, người qun trcó khả năng chỉnh sa  
tp các du hiệu. Tuy nhiên phương pháp này có rất nhiều nhược điểm như nó đòi hi  
phi mô tmt cách chính xác các du hiệu điều này là rt khó, cũng vì phi so sánh  
các mu chính xác tuyệt đối nên chúng ta cũng phải tn nhiều tài nguyên để lưu trữ  
các mu bao gm ccác biến thca chúng nếu không hthng skhông nhn ra  
được, nó phthuc khá nhiu vào công vic của người qun trị khi thường xuyên phi  
cp nht các cuc tn công mi trong khi các cuc tân công ngày càng trnên tinh vi  
và đa dạng hơn.  
Phương pháp dò da trên phát hin bất thưng hoạt động da trên nguyên tc, sẽ  
định ra các trng thái hoạt động bình thường ca hthng, các IPS sdò và so sánh  
nếu tn ti các cuc tn công sẽ có các hành động bất thường. Hthng IPS da trên  
phát hin bất thường xây dng các profile vhoạt động bình thường ca mạng làm cơ  
sso sánh. Hthng này hn chế được nhiều nhược điểm ca hthng sdng mu  
20  
so sánh. Nó có khả năng dò ra các cuc tấn công chưa biết là rất cao, đồng thi tn ít  
tài nguyên hơn cho việc xây dng các profile vhoạt động bình thường ca hthng  
so vi vic xây dng các mu tn công. Vấn đề chyếu ca hthng này là vic xây  
dng các profile là tương đối khó để phn ánh toàn din trng thái bình thường xét về  
mt không btn công, nó có thể đưa ra rất nhiu cnh báo sai khi hthng hoạt động  
trái bình thường nhưng bởi các nguyên nhân khác không phi các cuc tn công.  
Nhưng tóm lại hthng này rõ ràng có nhiều ưu điểm hơn hệ thng da trên mu nếu  
được ci tiến tốt, trong chương kế tiếp ca luận văn sẽ chyếu tp trung tìm hiu,  
đánh giá các cách cải tiến phương pháp này.  
21  
CHƯƠNG 2 : TÌM HIU VÀ NGHIÊN CU CÁC  
PHƯƠNG PHÁP PHÁT HIỆN TN CÔNG TRONG  
HTHNG IPS  
Hthng IPS sdụng 2 phương pháp chính để phát hin tấn công là phương  
pháp so sánh mẫu và phương pháp so sánh dựa trên bất thường. Như chúng ta đã biết  
phương pháp so sánh mẫu có khá nhiu khuyết điểm và hiện nay không được sdng  
rng rãi na, hu hết các hthng IPS hin nay chyếu htrvà phát triển phương  
pháp so sánh da trên bất thường vi khả năng phát hiện ra các kiu tn công mi vì  
thế trong chương này cũng như xuyên suốt luận văn tôi sẽ chyếu tp trung tìm hiu  
và nghiên cứu các phương pháp phát hiện tn công bng phát hin bất thường. Lun  
văn sẽ lần lượt đi qua các phương pháp cơ bản trong hthng sdng phát hin bt  
thường trong đó sẽ đi sâu vào phương pháp sử dng Datamining ( Khai phá dliu ),  
hướng nghiên cứu được nói đến nhiu nht hin nay.  
2.1 Tng quan về phương pháp phát hiện bất thường  
2.1.1 Thế nào là bất thường trong mng?  
Nhng bất thường trong mạng thường dùng để chnhng hoàn cnh khi hot  
động ca mạng đi chệch so vi các trng thái bình thường. Bất thưng trong mng có  
thphát sinh tnhiều nguyên nhân như các thiết bmng bhng hóc, hthng mng  
quá ti, hthng gp phi các cuc tn công tchi dch v, và các cuc xâm nhp  
phá vkhả năng vận chuyn ca các dch vmng …. Nhng skin bất thường sẽ  
phá vtrng thái bình thường ca mt vài dliu mng mà chúng ta có thể đo được.  
Ngưi ta sda vào trng thái ca các dliệu này để xác định trng thái ca mng là  
bình thường hay không bình thường. Các dliệu dùng để xác đnh trng thái ca mng  
phthuc vào mt vài nhân tố đặc biệt như khả năng hoạt động ca 1 hthng da  
trên dung lượng lưu thông, loại dliu hthng sn có hay nhng loi ng dng chy  
trên hthng…  

Tải về để xem bản đầy đủ

pdf 80 trang yennguyen 19/05/2025 80
Download
Bạn đang xem 30 trang mẫu của tài liệu "Luận văn Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfluan_van_giai_phap_phat_hien_va_ngan_chan_truy_cap_trai_phep.pdf
Luận Văn Liên Quan