Luận văn hệ thống phát hiện xâm nhập mạng - Nguyễn Đức Cường (ĐH Bách Khoa)

Luận văn thạc sĩ về hệ thống phát hiện xâm nhập mạng (IDS). Trình bày tổng quan lý thuyết và hướng dẫn triển khai công cụ mã nguồn mở Snort.

Trường đại học

Hanoi University of Technology

Chuyên ngành

Information Technology

Người đăng

Ẩn danh

Thể loại

Master's Thesis

2008

75
3
0

Phí lưu trữ

30 Point

Tóm tắt

I. Khái niệm và vai trò của Hệ thống Phát hiện Xâm nhập IDS

Hệ thống Phát hiện Xâm nhập (Intrusion Detection System - IDS) là một giải pháp an ninh mạng quan trọng giúp giám sát lưu thông mạng và các hoạt động khả nghi. IDS đóng vai trò không thể thiếu trong chiến lược bảo vệ hạ tầng công nghệ thông tin hiện đại. Chức năng chính của IDS bao gồm ba yếu tố cốt lõi: giám sát, cảnh báo và bảo vệ. Hệ thống này có khả năng phát hiện tấn công dựa trên các dấu hiệu đặc biệt hoặc bằng cách so sánh lưu thông hiện tại với baseline tiêu chuẩn. Snort, một công cụ IDS mã nguồn mở, đã trở thành lựa chọn hàng đầu để triển khai hệ thống phát hiện xâm nhập trong các tổ chức.

1.1. Chức năng quan trọng của IDS

Giám sát lưu lượng mạng là chức năng cơ bản giúp phát hiện hoạt động bất thường. Cảnh báo cho quản trị viên về các sự cố bảo mật tiềm ẩn. Bảo vệ bằng cách thực hiện các hành động thiết lập sẵn như khỏa tài khoản hoặc chặn địa chỉ IP nguồn. IDS cũng phân biệt được tấn công từ bên trong và bên ngoài, giúp tăng cường an ninh mạng tổng thể.

1.2. Phương pháp phát hiện của IDS

IDS sử dụng hai phương pháp chính: phát hiện dựa trên dấu hiệu (Signature-based) dùng để nhận biết các mẫu tấn công đã biết tương tự như phần mềm diệt virus. Phương pháp phát hiện dị thường (Anomaly-based) so sánh lưu thông hiện tại với baseline chuẩn để phát hiện các hành vi khác thường, giúp bảo vệ hệ thống khỏi các tấn công mới.

II. Kiến trúc và Cấu trúc của Hệ thống IDS Snort

Snort là một hệ thống IDS mã nguồn mở được xây dựng trên kiến trúc mô-đun, bao gồm các thành phần chính: Packet Decoder, Preprocessors, Detection EngineLogging & Alerting. Detection Engine là trái tim của Snort, thực hiện phát hiện xâm nhập dựa trên các quy tắc (rules) được cài đặt. Hệ thống logging của Snort ghi lại tất cả các sự kiện bảo mật để phân tích sau này. Kiến trúc modular này cho phép tùy chỉnhmở rộng tính năng theo nhu cầu cụ thể của tổ chức.

2.1. Detection Engine của Snort

Detection Engine là thành phần xử lý chính, phân tích từng gói tin mạng và so sánh với cơ sở dữ liệu quy tắc (rules). Nó sử dụng các thuật toán tối ưu để phát hiện nhanh chóng các cuộc tấn công mạng. Hiệu suất cao của detection engine cho phép Snort hoạt động trên các mạng với lưu thông lớn mà không gây tắc nghẽn.

2.2. Hệ thống Logging Alerting

Logging & Alerting System ghi lại tất cả các sự kiện bảo mật phát hiện được. Nó cung cấp cảnh báo theo thời gian thực cho quản trị viên thông qua email hoặc các công cụ thông báo khác. Việc lưu trữ dữ liệu chi tiết giúp phân tích sự cốcải thiện chiến lược bảo vệ hệ thống.

III. Quá trình Cài đặt Snort trên Debian Linux

Cài đặt Snort trên Debian Linux đòi hỏi tuân theo các bước cụ thể để đảm bảo hoạt động ổn định. Bước đầu tiên là cài đặt hệ điều hành Debian, sau đó cài đặt các phần mềm phụ thuộc cần thiết. Tiếp theo, cấu hình IPTABLES-BASED Firewall để hoạt động với Snort. Cài đặt MySQL Server để lưu trữ dữ liệu alert. Sau đó, cài đặt Apache-SSL Web ServerBasic Analysis and Security Engine (BASE) để có giao diện quản lý trực quan. Cuối cùng, cập nhật rules bằng Oinkmaster và tạo startup script để Snort tự động khởi động.

3.1. Các bước cơ bản cài đặt

Cài đặt Debian Linux là nền tảng, tiếp theo cài các gói phần mềm phụ thuộc như libpcap, libnet. Cấu hình IPTABLES Firewall để bảo vệ hệ thống và cho phép Snort hoạt động. Cài đặt MySQL để lưu trữ alert database, sau đó cài Snort và các công cụ hỗ trợ để giám sát an ninh mạng hiệu quả.

3.2. Cấu hình và tối ưu hóa

Cấu hình MySQL Server để tối ưu lưu trữ dữ liệu alert. Thiết lập SNORT để ghi alert vào database. Cài đặt Apache Web Server với SSL để truy cập an toàn. Cấu hình BASE (Basic Analysis and Security Engine) cung cấp giao diện quản lý trực quan. Cập nhật rules thường xuyên bằng Oinkmaster để phát hiện mối đe dọa mới nhất.

IV. Ứng dụng thực tế và Lợi ích của Snort

Snort đã được triển khai thành công tại Đại học Bách Khoa Hà Nội để bảo vệ hạ tầng mạng của trường. Hệ thống IDS Snort cung cấp giám sát liên tục, phát hiện mối đe dọa trong thời gian thực và cảnh báo ngay lập tức. Việc triển khai Snort giúp giảm rủi ro bảo mật, phát hiện sớm các cuộc tấn côngtăng khả năng phản ứng. Giao diện BASE cho phép quản trị viên dễ dàng phân tích dữ liệu, xem các sự kiện bảo mậttạo báo cáo chi tiết. Snort mã nguồn mở tiết kiệm chi phí đáng kể so với các giải pháp thương mại, đồng thời vẫn đảm bảo hiệu suất caođộ tin cậy.

4.1. Lợi ích kinh tế và kỹ thuật

Snortgiải pháp mã nguồn mở không tốn chi phí giấy phép thương mại. Nó cung cấp hiệu suất cao, phát hiện chính xác các mối đe dọa bảo mật. Cộng đồng Snort lớn cung cấp hỗ trợ kỹ thuật liên tục và cập nhật rules định kỳ. Triển khai Snort giúp tăng cường an ninh mạngkhông tăng ngân sách đáng kể, đặc biệt hữu ích cho các tổ chức giáo dục.

4.2. Tích hợp và quản lý hệ thống

BASE (Basic Analysis and Security Engine) cung cấp giao diện quản lý web thân thiện giúp xem và phân tích alert. Webmin cho phép quản lý cấu hình hệ thống từ xa. Tích hợp MySQL tạo cơ sở dữ liệu centralized để lưu trữ và truy vấn các sự kiện bảo mật. Snort có thể tự động khởi động và hoạt động liên tục 24/7 để bảo vệ mạng một cách toàn diện.

28/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG I- TONG QUAN VE IDS 1.1 Khai niém Hệ théng phải hiện xâm nhập (Intrusion Detcetion System - TDS) 1a mot. hé thang giám sát lưu thông mạng, các hoạt động khả nghỉ và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản trng lại với các lưu thông bắt thường hay có hại bằng cách thực hiện các hành động đã được thiết lập trước như khỏa nguai ding hay địa chỉ ïP nguẫn đó không cho truy cập hệ thống mang, TDS cũng cỏ thể phân biệt gia nhing lắn công từ bên trong hay tân công từ bên ngoài. D8 phảt hiện tân công dựa lrên các dâu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phẩn mềm điệt virus đựa vào các dân hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sảnh lưu thỏng mạng hiệu tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dẫu hiệu khác thường.

Chức năng Ta có thể hiểu Lóm tắt về hệ (hếng phải hiện xâm nhập mạng— ID8 như sau Chức nẵng quan trọng nhất : giảm sát - cảnh bảo - báo vệ Giám sát. lưu lượng mạng vả các hoạt động khả nghủ. Cảnh báo: báo cáo về tính trạng mạng cho nha quản trị. Bao vé: Ding những thiết lập mặc định và sự cấu hình tử nhà quản trị mà có những, hảnh động thiết thục chồng lại kẻ xâm nhập vả phả hoại.

+ Chức năng mở rộng Phân biệt. các tẫn cũng trong và ngoài mang Phát hiện: những dâu hiệu bất thưởng đa trên những gì đã biết hoặc nhờ vào sự so sảnh thông lượng mạng hiện lại với bassline Hệ thông phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông — 8 Nguyễn Đức Cường. có thể là bản thân IDS bằng cách lợi dụng các tham số đo bê sung (các chức năng khóa để giới hạn các session, backup hệ thông, định tuyển các kết nổi đến bẫy hệ thống, cơ sở hạ tầng hợp lệ.) - theo các chỉnh sách bảo mật của các tổ chức. Một 1D§ là một thánh phân nằm trong chính sách bảo mật.

Giữa các nhiêm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập lả một trong những. nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp ly các tỉnh tiết vả việc cải đặt các bản vá thích hợp để cho phép phát hiện các tân công. trong tương lai nhằm vảo các cả nhân cụ thẻ hoặc tải nguyên hệ thông.

Phát hiện xâm nhập đôi khi cỏ thể đưa ra các bảo cảnh sai, ví dụ những vẫn đẻ xảy ra do trục trặc vẻ giao điện mạng hoặc việc gửi phân mô tả các tan công hoặc các chit ky thông qua email. Câu trúc của một hệ thông phát hiện xâm phạm đạng tập trung : Hệ thông phát hiện xâm nhập. Cơ sử dữ liệ nhận đạng xâm. Cơ sử dữ liệu cần hình hệ thống Kiểm tra các dấu hiệ và giám u sát mang Hãnh động M.2 : Cầu trúc tập trung.

'Hệ thống phát hiện xâm nhập mạng Xử lý Thông tin và Truyền Thông — 8 Nguyễn Đức Cường. có thể là bản thân IDS bằng cách lợi dụng các tham số đo bê sung (các chức năng khóa để giới hạn các session, backup hệ thông, định tuyển các kết nổi đến bẫy hệ thống, cơ sở hạ tầng hợp lệ.) - theo các chỉnh sách bảo mật của các tổ chức. Một 1D§ là một thánh phân nằm trong chính sách bảo mật. Giữa các nhiêm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập lả một trong những.

nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp ly các tỉnh tiết vả việc cải đặt các bản vá thích hợp để cho phép phát hiện các tân công. trong tương lai nhằm vảo các cả nhân cụ thẻ hoặc tải nguyên hệ thông. Phát hiện xâm nhập đôi khi cỏ thể đưa ra các bảo cảnh sai, ví dụ những vẫn đẻ xảy ra do trục trặc vẻ giao điện mạng hoặc việc gửi phân mô tả các tan công hoặc các chit ky thông qua email.

Câu trúc của một hệ thông phát hiện xâm phạm đạng tập trung : Hệ thông phát hiện xâm nhập. Cơ sử dữ liệ nhận đạng xâm. Cơ sử dữ liệu cần hình hệ thống Kiểm tra các dấu hiệ và giám u sát mang Hãnh động M.2 : Cầu trúc tập trung. 'Hệ thống phát hiện xâm nhập mạng Xirly Thong tin va Truydu Thong 3 Nguyễn Đức Cường LỜI NỞI ĐẦU Khải niệm phát hiện xâm nhập đã xuất hiện qua một bải bảo của James Anderson cách đây khoảng 25 năm.

Khi đó người ta cần hệ thông phát hiện xâm nhập - IDS (Intrusion Detection System) véi muc dich 1a dé tim và nghiên cứu các hành vỉ bắt thường và thái độ của người sử đụng trong mạng, phát hiện ra các việc lạm đụng. đặc quyền để gidm sal tai sân hệ thống mạng. Các nghiên cứu về hệ thắng phải hiện xâm nhập được nghiên cửu chỉnh thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỷ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biển, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu.

Tuy nhiên trong thời gian này, một số công, nghệ IDS bất đầu phát triển đựa trên sự bùng nễ của công nghệ thông tin. 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đâu của công iy IS8, một năm sau đỏ, Cisco nhận ra tam quan trong cia IDS va da mua lai một công ty cung cấp giải pháp II3S tên là Whecl Hiện tại, các thông kê chơ thấy IDS đang lá một trong các công nghệ an ninh được sử đụng nhiêu nhát vã vẫn còn phát triển. Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gay chấn động trong lĩnh vực an toán thông tin : "Hệ thẳng phát hiện xâm nhap (IDS) sé không còn nữa vào năm 2005”. Phát biển này xuất phát từ một số kết quả phân tich và đánh giá cho thấy hệ thống IDS khi 46 dang 461 mat voi van 48 14 IDS thường xuyên đưa ra rải nhiêu bảo động giả ( False Positives).

Kẻm theo các cảnh bảo lẫn công của ID còn là một quy trình xử lý an ninh rất vất vã. Các IDS lúc nảy không có khả năng theo dõi các luỗng đữ liệu được truyền với tốc độ lớn hơn 600 Megabit trén giây. Nhin chung Gartner đưa ra nhận xét này dựa trên nhiễu phản ảnh của những khách hàng, đang sử đụng IDS rằng quản trị và vận hành hệ thông IDS 14 rat khé khan, tan kém. và không đem lại hiệu quả lương xứng so với đầu hư.

Hệ thông phát hiện xâm nhập mạng Xirly Thong tin va Truydu Thong 3 Nguyễn Đức Cường LỜI NỞI ĐẦU Khải niệm phát hiện xâm nhập đã xuất hiện qua một bải bảo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thông phát hiện xâm nhập - IDS (Intrusion Detection System) véi muc dich 1a dé tim và nghiên cứu các hành vỉ bắt thường và thái độ của người sử đụng trong mạng, phát hiện ra các việc lạm đụng. đặc quyền để gidm sal tai sân hệ thống mạng. Các nghiên cứu về hệ thắng phải hiện xâm nhập được nghiên cửu chỉnh thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỷ.

Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biển, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công, nghệ IDS bất đầu phát triển đựa trên sự bùng nễ của công nghệ thông tin. 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đâu của công iy IS8, một năm sau đỏ, Cisco nhận ra tam quan trong cia IDS va da mua lai một công ty cung cấp giải pháp II3S tên là Whecl Hiện tại, các thông kê chơ thấy IDS đang lá một trong các công nghệ an ninh được sử đụng nhiêu nhát vã vẫn còn phát triển. Vào năm 2003, Gartner- một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu- đã đưa ra một dự đoán gay chấn động trong lĩnh vực an toán thông tin : "Hệ thẳng phát hiện xâm nhap (IDS) sé không còn nữa vào năm 2005”.

Phát biển này xuất phát từ một số kết quả phân tich và đánh giá cho thấy hệ thống IDS khi 46 dang 461 mat voi van 48 14 IDS thường xuyên đưa ra rải nhiêu bảo động giả ( False Positives). Kẻm theo các cảnh bảo lẫn công của ID còn là một quy trình xử lý an ninh rất vất vã. Các IDS lúc nảy không có khả năng theo dõi các luỗng đữ liệu được truyền với tốc độ lớn hơn 600 Megabit trén giây. Nhin chung Gartner đưa ra nhận xét này dựa trên nhiễu phản ảnh của những khách hàng, đang sử đụng IDS rằng quản trị và vận hành hệ thông IDS 14 rat khé khan, tan kém.

và không đem lại hiệu quả lương xứng so với đầu hư. Hệ thông phát hiện xâm nhập mạng Xirly Thong tin va Truydu Thong 3 Nguyễn Đức Cường LỜI NỞI ĐẦU Khải niệm phát hiện xâm nhập đã xuất hiện qua một bải bảo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thông phát hiện xâm nhập - IDS (Intrusion Detection System) véi muc dich 1a dé tim và nghiên cứu các hành vỉ bắt thường và thái độ của người sử đụng trong mạng, phát hiện ra các việc lạm đụng. đặc quyền để gidm sal tai sân hệ thống mạng.

Các nghiên cứu về hệ thắng phải hiện xâm nhập được nghiên cửu chỉnh thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỷ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biển, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công, nghệ IDS bất đầu phát triển đựa trên sự bùng nễ của công nghệ thông tin. 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đâu của công iy IS8, một năm sau đỏ, Cisco nhận ra tam quan trong cia IDS va da mua lai một công ty cung cấp giải pháp II3S tên là Whecl Hiện tại, các thông kê chơ thấy IDS đang lá một trong các công nghệ an ninh được sử đụng nhiêu nhát vã vẫn còn phát triển.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ