Hệ thống phát hiện và ngăn chặn xâm nhập - Luận văn Thạc sĩ Nguyễn Quang Thắng

Luận văn hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS. Phân tích các kiểu tấn công và hướng dẫn xây dựng hệ thống bảo mật mạng với Snort.

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ kỹ thuật

2016

75
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tổng quan về Hệ thống Phát hiện và Ngăn chặn Xâm nhập

Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) là những công nghệ bảo mật quan trọng trong môi trường doanh nghiệp hiện đại. Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, IDS (Intrusion Detection System)IPS (Intrusion Prevention System) đóng vai trò then chốt trong việc bảo vệ cơ sở hạ tầng CNTT. Hệ thống phát hiện xâm nhập có khả năng phát hiện và cảnh báo các hành động nghi vấn trên cả Host và mạng. Hệ thống ngăn chặn xâm nhập không chỉ phát hiện mà còn chủ động chặn các luồng dữ liệu độc hại, ngăn chặn thất thoát tài nguyên và bảo vệ hệ thống khỏi các cuộc tấn công từ tin tặc. Với những tính năng vượt trội, IDS/IPS được sử dụng rộng rãi và trở thành cơ sở đảm bảo an ninh hệ thống mạng của các tổ chức.

1.1. Khái niệm IDS Hệ thống Phát hiện Xâm nhập

IDS (Intrusion Detection System) là hệ thống bảo mật chuyên biệt có khả năng phát hiện và chống lại các kiểu tấn công mạng mới, các vụ lạm dụng và dùng sai phát sinh từ trong hệ thống. Hệ thống phát hiện xâm nhập hoạt động tốt với các phương thức bảo mật truyền thống như Firewall và VPN. IDS thu thập thông tin từ các loại tấn công đã biết để tìm ra và cảnh báo khi có ai cố gắng xâm nhập hệ thống mạng hoặc máy tính cá nhân.

1.2. Khái niệm IPS Hệ thống Ngăn chặn Xâm nhập

IPS (Intrusion Prevention System) là hệ thống mở rộng nâng cao của IDS, kết hợp tất cả tính năng phát hiện cùng khả năng ngăn chặn các gói tin bất thường. Hệ thống ngăn chặn xâm nhập chủ động chặn luồng dữ liệu độc hại, ngăn chặn thất thoát tài nguyên và bảo vệ hệ thống khỏi các cuộc tấn công của tin tặc. IPS đại diện cho bước tiến vượt bậc trong công nghệ bảo vệ mạng hiện đại.

II. Sự khác biệt giữa IDS và IPS

Mặc dù IDSIPS có nhiều điểm tương đồng, nhưng chúng có những khác biệt cơ bản về chức năng và cách thức hoạt động. IDS (Intrusion Detection System) chủ yếu tập trung vào phát hiện và cảnh báo các hoạt động nghi vấn trên mạng, trong khi IPS (Intrusion Prevention System) không chỉ phát hiện mà còn chủ động ngăn chặn các cuộc tấn công. Hệ thống phát hiện xâm nhập hoạt động ở chế độ thụ động, ghi nhận các sự cố để sau này phân tích, còn hệ thống ngăn chặn xâm nhập hoạt động ở chế độ tích cực. Sự khác biệt này làm cho IPS trở thành giải pháp bảo mật toàn diện hơn trong việc bảo vệ cơ sở hạ tầng mạng của các tổ chức.

2.1. Chế độ hoạt động của IDS

IDS hoạt động ở chế độ thụ động (Passive Mode), tiến hành giám sát mạng và thu thập dữ liệu về các hoạt động nghi vấn. Khi phát hiện các dấu hiệu tấn công mạng, hệ thống phát hiện xâm nhập sẽ ghi nhận và cảnh báo cho quản trị viên, nhưng không trực tiếp chặn các gói tin độc hại. Phương pháp này cho phép các chuyên gia bảo mật phân tích các kiểu tấn công chi tiết.

2.2. Chế độ hoạt động của IPS

IPS hoạt động ở chế độ tích cực (Active Mode), không chỉ phát hiện xâm nhập mà còn ngăn chặn các gói tin bất thường ngay lập tức. Hệ thống ngăn chặn xâm nhập có thể chặn luồng dữ liệu độc hại, hủy bỏ các kết nối nghi vấn và bảo vệ hệ thống khi tin tặc tấn công. Điều này giúp giảm thiểu thiệt hạităng cường bảo mật thời gian thực.

III. Phân loại hệ thống IDS IPS

Hệ thống phát hiện và ngăn chặn xâm nhập được chia thành hai loại chính dựa trên vị trí triển khai và phương pháp giám sát. Network-based IDS (NIDS) giám sát toàn bộ lưu lượng mạng, trong khi Host-based IDS (HIDS) giám sát hoạt động trên từng máy tính cụ thể. Việc lựa chọn loại IDS/IPS phù hợp phụ thuộc vào nhu cầu bảo mật của tổ chức và quy mô hạ tầng mạng. Nhiều tổ chức kết hợp cả NIDSHIDS để tạo thành hệ thống bảo vệ mạng toàn diện và hiệu quả nhất.

3.1. Network based IDS NIDS Phát hiện xâm nhập dựa trên mạng

NIDS (Network-based IDS) giám sát lưu lượng mạng trên các kênh truyền thông, phát hiện các gói tin nghi vấnhành vi tấn công mạng. Hệ thống phát hiện xâm nhập dựa trên mạng được triển khai ở các vị trí chiến lược trên mạng để phát hiện tấn công. NIDS có khả năng phát hiện nhiều loại tấn công nhưng có thể gặp khó khăn với lưu lượng mạng mã hóa.

3.2. Host based IDS HIDS Phát hiện xâm nhập dựa trên Host

HIDS (Host-based IDS) giám sát hoạt động trên máy tính cụ thể, phát hiện các hành động bất thường như thay đổi tập tin hệ thống hoặc truy cập trái phép. Hệ thống phát hiện xâm nhập dựa trên Host có khả năng phát hiện tấn công nội bộcác hành vi lạm dụng từ người dùng chính hợp pháp. HIDS đặc biệt hiệu quả trong bảo vệ máy chủmáy tính quan trọng.

IV. Các loại tấn công mạng và cơ chế hoạt động

Các kiểu tấn công mạng ngày càng đa dạng và phức tạp, đòi hỏi hệ thống bảo mật phải liên tục cập nhật. Tấn công từ chối dịch vụ (Denial of Service), tấn công vào mật khẩu (Password Attack), chiếm đặc quyềncài đặt mã nguy hiểm là những loại tấn công phổ biến. Cơ chế hoạt động của IDS/IPS dựa trên việc phân tích lưu lượng mạng, so sánh với các mô hình tấn công đã biết và phát hiện bất thường. Những công cụ như Snort - một phần mềm mã nguồn mở - cho phép xây dựng các luật phát hiện tùy chỉnh để bảo vệ mạng một cách hiệu quả.

4.1. Các loại tấn công phổ biến trên mạng

Tấn công từ chối dịch vụ (DoS) làm quá tải hệ thống mạng. Tấn công mật khẩu cố gắng đoán hoặc phá vỡ thông tin đăng nhập. Cài đặt mã nguy hiểmgián lan, lừa dối là những hình thức tấn công nhằm lấy cắp dữ liệu hoặc phá hoại hệ thống. Hệ thống phát hiện xâm nhập phải nhận diện được tất cả những loại tấn công này để bảo vệ hiệu quả.

4.2. Cơ chế phân tích và phát hiện bằng Snort

Snort là công cụ IDS/IPS mã nguồn mở được sử dụng rộng rãi để phát hiện xâm nhập. Hệ thống Snort hoạt động bằng cách phân tích gói tin mạng, so sánh với cơ sở dữ liệu các luật phát hiện và cảnh báo khi phát hiện hành vi nghi vấn. Người quản trị có thể xây dựng luật tùy chỉnh để phát hiện các loại tấn công mới, giúp hệ thống bảo mật luôn cập nhật với những mối đe dọa mới nhất.

28/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG I: NOI DUNG NGHIEN CUU 1. Ly do chon dé tai Bảo mật là một vấn để lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Tin tặc và kẻ xâm nhập đã nhiều lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin gid tri. Đã có nhiều phương pháp được phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như: sử dụng Eirewall, VPN.trong đó có hệ thống phát hiện và ngăn chặn xâm nhập.

Phát hiện xâm nhập là một trong những công nghệ và phương thức dùng để phát hiện hành đông khả nghỉ trên cả Host và mạng. Các phương pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây, sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tân công đã biết để tìm ra và cảnh báo một ai đó đang cô gắng tấn công và mạng hay máy cá nhân. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một hệ thống bảo mật có khả năng phát hiện và chống lại các kiểu tắn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Hệ thống ngăn chặn xâm nhập IP§ (Intrusion Prevent System) là hệ thống mở rộng nâng cao của hé thống phát hiện xâm nhập IDS.

Nó có tất cả tính năng của một hệ thống phát hiện xâm nhập bình thường đi kèm với khả năng ngăn chặn những luồng dữ liệu trao đổi của hệ thống mạng. Do đó hệ thống có khả năng ngăn chăn thất thoát tài nguyên, tắn công vào hệ thống của tin tặc, chặn luồng dữ liệu thông tin độc hại v. ——— Nguyễn Quang Thắng - 2014ATTMMT Page 1 Vì những tính năng đó mà hệ thống phát hiện và ngăn chặn xâm nhập được sử dụng ngày càng rộng rãi và được coi như là cơ sở bảo đảm an ninh hệthống mạng. Mục tiêu nghiên cứu - Tim hiểu về hệ thống ngăn chăn và phát hiện xâm nhập.

~ Tìm hiểu các kỹ thuật xâm nhập bắt hợp pháp mà tin tặc thường sử dụng để tấn công vào mạng nội bộ - Xây dựng hệ thống IDS sử dụng phần mềm mã nguồn mở snort để phát hiện các bất thường và cảnh báo - Xây dựng một số luật cơ bản cho hệ thống snort, nhằm phát hiện một vài kiểu xâm nhập của tin tặc - Xây dựng hệ thống IPS str dung ma nguồn mở snort để ngăn chan các gói tin bất thường. Phương pháp nghiên cứu. - Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát mạng nội bộ - Sử dụng hệ thống phát hiện xâm nhập IDS bằng phần mềm mã nguồn mở snort, nhằm phát hiện các dâu hiệu bắt thường trong mạng nội bô. - Nghiên cứu cấu trúc luật (rules) của snort, từ đó tự xây dựng những luật mới theo nhu cầu của người dùng, nhằm đảm bảo cho hệ thống có thể phát hiện được những cách thức xâm nhập mới nhất của tin tặc vào hệ thống mạng ~ Thực nghiệm đưa ra độ chính xác của các tập lệnh đã xây dưng, mở rông xây dựng hệ thống ngăn chăn IPS dưa trên snort 1.

Đối tượng nghiên cứu - HĐH Ubunuu: tăng cường tính bảo mật hơn cho hệ thông Nguyễn Quang Thắng - 2014ATTMMT Page 2 Tinh 21. Kết quả của snorL cảnh báo - 58 Hình 22. Kết quả cảnh báo eda snort - - 58 Hình 23. Mô tả Nmap quét cổng.

Snort đưa ra cánh bie khi od quét cong. Mô tả snort xuất hiện cảnh báo. Hình ảnh mô tả quét cổng 61 Tình 27. Wireshark bắt pói tin quét Xmas và kết quả phân tích.

Hình ảnh mé ta snort phat hién quét cng. Kết quả cánh bảo của snorL - 63 Hình 30. Hình ảnh mô tả tổng quan hệ thẳng thứ nghiệm. Wireshare bắt và phân tích gói tin S511.

Kết quả snort phát hiện vả ra cảnh báo. Wireshark bắt và phân tích gói tin dạng tấn công duémg him ICMP Hình 34. Kết quả hệ thống phát hiện và ghỉ log. Hinh minh hoa snort_inlme đã được cải đặt thành công.

Hình ảnh minh hoạ demo hệ thông ngăn chặn xâm nhập với snort_inline - - - - 74 inh 37. Ilình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập 75 Hình 38. Hinh ảnh snort phát hiện chặn gói tin và ra log 76 Tinh 39. [inh ảnh quét cổng Lại máy tấn công sau khi hệ thẳng có luật.

Hình ảnh mô phống hệ thống giả lập demo snort inline. Hình ảnh minh hoạ kết nối giữa 2 máy ảo 78 Hình 42. Hình ảnh chỉ tiết hệ thống thử nghiệm snorL inlinc 79 Hình 43. Minh hoạ quét cổng trên máy tấn công.

Minh hoạ kết nối của máy nạn nhân 80 Vì những tính năng đó mà hệ thống phát hiện và ngăn chặn xâm nhập được sử dụng ngày càng rộng rãi và được coi như là cơ sở bảo đảm an ninh hệthống mạng. Mục tiêu nghiên cứu - Tim hiểu về hệ thống ngăn chăn và phát hiện xâm nhập. ~ Tìm hiểu các kỹ thuật xâm nhập bắt hợp pháp mà tin tặc thường sử dụng để tấn công vào mạng nội bộ - Xây dựng hệ thống IDS sử dụng phần mềm mã nguồn mở snort để phát hiện các bất thường và cảnh báo - Xây dựng một số luật cơ bản cho hệ thống snort, nhằm phát hiện một vài kiểu xâm nhập của tin tặc - Xây dựng hệ thống IPS str dung ma nguồn mở snort để ngăn chan các gói tin bất thường. Phương pháp nghiên cứu.

- Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát mạng nội bộ - Sử dụng hệ thống phát hiện xâm nhập IDS bằng phần mềm mã nguồn mở snort, nhằm phát hiện các dâu hiệu bắt thường trong mạng nội bô. - Nghiên cứu cấu trúc luật (rules) của snort, từ đó tự xây dựng những luật mới theo nhu cầu của người dùng, nhằm đảm bảo cho hệ thống có thể phát hiện được những cách thức xâm nhập mới nhất của tin tặc vào hệ thống mạng ~ Thực nghiệm đưa ra độ chính xác của các tập lệnh đã xây dưng, mở rông xây dựng hệ thống ngăn chăn IPS dưa trên snort 1. Đối tượng nghiên cứu - HĐH Ubunuu: tăng cường tính bảo mật hơn cho hệ thông Nguyễn Quang Thắng - 2014ATTMMT Page 2 CIIUONG IL: UNG DUNG SNORT TRONG IDS/IPS 3. Gidi thigu vé snort.

Kiến trúc của snort 3.1, Médun gidi ma asin 312.kut log và cônh bảo. A6 đất kết xuất thông từt 3. Bộ luật của snort 337 thiệu - - - - 34 3. Cầm trúc luật của Snort.

Chế độ ngăn chặn của Snorf: Sner†— Iniine 3. Tích bợp kha ning agiin chan vao Snort. Những bé sung cho edu trúc luật của Snort hỗ trợ lnline mode. Cải đặt thứ nghiệm hệ thông phát hiện xâm nhập với snort.

Môi trường và thông số hệ thong. Cài đặt và câu hình snort, burnyard2, pallsdgork và d suorby. CHƯƠNG IV: THU NGHIỆM HE THONG PHAT HIỆN VÀ NGĂN CHAN XAM NHAP VOT SNORT 4. Hệ thống phát hiện xâm nhập với Snort (Snort IDS) 4.

Cài đềi và mô hành hệ thông, 4-13. Thử nghiệm với một sỗ luật của hộ thẳng snorE 3 4. Đánh giá về hệ thing phat hign xdm nbiip sit dung Snort (Snart1 IDS) aA 4. Lệ thông ngăn chặn xâm nhp véi snort_inline (Snort LPS) 4.1 Cài đặt và mô lành hệ thông - - 72 4.

Thứ nghiệm hệ thông 7 4. Đánh giá về hệ thông ngăn chăn xâm nhập với Snort_imline (Snort IPS). Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort. TAI LIEU THAM KHAO.

Kết quả của snorL cảnh báo - 58 Hình 22. Kết quả cảnh báo eda snort - - 58 Hình 23. Mô tả Nmap quét cổng. Snort đưa ra cánh bie khi od quét cong.

Mô tả snort xuất hiện cảnh báo. Hình ảnh mô tả quét cổng 61 Tình 27. Wireshark bắt pói tin quét Xmas và kết quả phân tích. Hình ảnh mé ta snort phat hién quét cng.

Kết quả cánh bảo của snorL - 63 Hình 30. Hình ảnh mô tả tổng quan hệ thẳng thứ nghiệm. Wireshare bắt và phân tích gói tin S511. Kết quả snort phát hiện vả ra cảnh báo.

Wireshark bắt và phân tích gói tin dạng tấn công duémg him ICMP Hình 34. Kết quả hệ thống phát hiện và ghỉ log. Hinh minh hoa snort_inlme đã được cải đặt thành công. Hình ảnh minh hoạ demo hệ thông ngăn chặn xâm nhập với snort_inline - - - - 74 inh 37.

Ilình ảnh mô tả hệ thống thử nghiệm hệ thống ngăn chặn xâm nhập 75 Hình 38. Hinh ảnh snort phát hiện chặn gói tin và ra log 76 Tinh 39. [inh ảnh quét cổng Lại máy tấn công sau khi hệ thẳng có luật. Hình ảnh mô phống hệ thống giả lập demo snort inline.

Hình ảnh minh hoạ kết nối giữa 2 máy ảo 78 Hình 42. Hình ảnh chỉ tiết hệ thống thử nghiệm snorL inlinc 79 Hình 43. Minh hoạ quét cổng trên máy tấn công. Minh hoạ kết nối của máy nạn nhân 80 Vì những tính năng đó mà hệ thống phát hiện và ngăn chặn xâm nhập được sử dụng ngày càng rộng rãi và được coi như là cơ sở bảo đảm an ninh hệthống mạng.

Mục tiêu nghiên cứu - Tim hiểu về hệ thống ngăn chăn và phát hiện xâm nhập. ~ Tìm hiểu các kỹ thuật xâm nhập bắt hợp pháp mà tin tặc thường sử dụng để tấn công vào mạng nội bộ - Xây dựng hệ thống IDS sử dụng phần mềm mã nguồn mở snort để phát hiện các bất thường và cảnh báo - Xây dựng một số luật cơ bản cho hệ thống snort, nhằm phát hiện một vài kiểu xâm nhập của tin tặc - Xây dựng hệ thống IPS str dung ma nguồn mở snort để ngăn chan các gói tin bất thường. Phương pháp nghiên cứu. - Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát mạng nội bộ - Sử dụng hệ thống phát hiện xâm nhập IDS bằng phần mềm mã nguồn mở snort, nhằm phát hiện các dâu hiệu bắt thường trong mạng nội bô.

- Nghiên cứu cấu trúc luật (rules) của snort, từ đó tự xây dựng những luật mới theo nhu cầu của người dùng, nhằm đảm bảo cho hệ thống có thể phát hiện được những cách thức xâm nhập mới nhất của tin tặc vào hệ thống mạng ~ Thực nghiệm đưa ra độ chính xác của các tập lệnh đã xây dưng, mở rông xây dựng hệ thống ngăn chăn IPS dưa trên snort 1.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ