Luận văn: Hệ thống phát hiện xâm nhập mạng cho Bộ KH&CN

Luận văn thạc sĩ CNTT: Nghiên cứu chuyên sâu về phát hiện xâm nhập mạng. Tìm hiểu các phương pháp, kỹ thuật và giải pháp bảo mật hệ thống hiệu quả.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2011

96
0
0

Phí lưu trữ

35 Point

Mục lục chi tiết

MỞ ĐẦU

1. CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG VÀ LỪA ĐẢO TRÊN MẠNG

1.1. Hệ thống phát hiện xâm nhập là gì ?

1.2. Các kiểu của hệ thống IDS

1.3. Giải thích hoạt động cơ bản của hệ thống IDS

1.4. Cảm biến (sensor)

1.4.1. Chức năng của cảm biến

1.4.2. Cảm biến dựa trên mạng

1.4.3. Cảm biến dựa trên máy tính

1.4.4. Vị trí đặt cảm biến

1.4.5. Các lưu thông mạng đã được mã hóa

2. CHƯƠNG 2: QUY TRÌNH PHÒNG NGỪA VÀ NGĂN CHẶN XÂM NHẬP MẠNG CHO HỆ THỐNG MẠNG BỘ KHOA HỌC VÀ CÔNG NGHỆ

2.1. Phòng ngừa xâm nhập tường lửa

2.2. Kiểm tra lỗ hổng bảo mật của các Website

2.3. Phòng ngừa xâm nhập mạng từ trong nội bộ thông qua tài liệu chia sẻ:

2.4. Phòng ngừa xâm nhập thông qua mạng không dây

2.5. Phòng ngừa xâm nhập hệ điều hành

2.6. Phòng ngừa xâm nhập SQL Injection

2.7. Phòng ngừa và ngăn chặn tấn công từ chối dịch vụ

2.8. Phòng ngừa và ngăn chặn phishing

2.9. Phòng ngừa và ngăn chặn spoofing

3. CHƯƠNG 3: XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG CHO HỆ THỐNG MẠNG BỘ KHOA HỌC VÀ CÔNG NGHỆ

3.1. Mô hình mạng Bộ Khoa học và Công nghệ

3.2. Hệ thống phát hiện xâm nhập xây dựng trên nền tảng mã nguồn mở Snort

3.2.1. Các chức năng chính của Snort

3.2.2. Cấu hình cho phần mềm Snort

3.2.3. Quản lý và tạo luật trong phần mềm Snort

3.3. Thiết kế và triển khai hệ thống phát hiện xâm nhập mạng

3.3.1. Thiết kế hệ thống phát hiện xâm nhập mạng

3.3.2. Triển khai hệ thống phát hiện xâm nhập mạng

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Luận Văn Thạc Sĩ Về Phát Hiện Xâm Nhập Mạng

Trong bối cảnh an ninh mạng ngày càng trở nên quan trọng, việc nghiên cứu và phát triển các hệ thống phát hiện xâm nhập mạng (IDS) là vô cùng cần thiết. Luận văn thạc sĩ về chủ đề này đóng vai trò quan trọng trong việc cung cấp kiến thức chuyên sâu và giải pháp hiệu quả để bảo vệ hệ thống mạng khỏi các cuộc tấn công ngày càng tinh vi. Các hệ thống an ninh mạng truyền thống dựa vào tường lửa để kiểm soát luồng thông tin, nhưng chúng thường bất lực trước các cuộc tấn công mới nhắm vào điểm yếu của hệ thống. Luận văn này tập trung vào việc xây dựng một hệ thống phát hiện xâm nhập hiệu quả, có khả năng phát hiện và ứng phó với các mối đe dọa tiềm ẩn, sử dụng các phương pháp hiện đại như học máykhai phá dữ liệu. Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức, và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý. Học máy (Machine Learning) và Khai phá dữ liệu (Data Mining) được ứng dụng để tăng tính hiệu quả của hệ thống. Phân tích gói tin (Packet Analysis) là một kỹ thuật quan trọng.

Theo tài liệu gốc, 'Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức, và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý.' Điều này nhấn mạnh vai trò chủ động của IDS trong việc giám sát và bảo vệ mạng. Ngoài ra, việc nghiên cứu và phát triển các sản phẩm về an ninh thông tin nói chung và an ninh mạng nói riêng là một nhu cầu bức thiết đối với hệ thống mạng của Bộ Khoa học và Công nghệ. Khi mà các ứng dụng chạy trên đó ngày càng phát triển về cả quy mô và số lượng, thì những lỗ hổng về bảo mật ẩn chứa trong các hệ thống này cũng ngày càng nhiều.

1.1. Các Kiểu Hệ Thống IDS NIDS HIDS và Hybrid IDS

Có ba kiểu hệ thống IDS chính: Phát hiện xâm nhập tại một máy (Host-based intrusion-detection system - HIDS), phát hiện xâm nhập trên toàn hệ thống mạng (Network-based intrusion-detection system - NIDS), và sự kết hợp của cả hai kiểu trên (Hybrid IDS). HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự kiện. NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công. Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều có những ưu và nhược điểm khác nhau. Việc lựa chọn loại hình IDS phù hợp phụ thuộc vào yêu cầu và điều kiện cụ thể của hệ thống mạng cần bảo vệ. HIDS tốt cho việc phát hiện xâm nhập từ bên trong. NIDS tốt cho việc phát hiện xâm nhập từ bên ngoài mạng. An ninh mạng được đảm bảo tốt hơn khi kết hợp cả hai loại hình IDS. Phân tích lưu lượng mạng (Network traffic analysis) đóng vai trò quan trọng.

1.2. Hoạt Động Cơ Bản Của Một Hệ Thống Phát Hiện Xâm Nhập IDS

Quy trình cơ bản của một IDS bao gồm chọn lựa dữ liệu, tiền xử lý, và tập hợp chúng. Sau đó, dữ liệu được phân tích bằng các phương pháp thống kê hoặc so sánh với cơ sở dữ liệu về các mẫu tấn công đã biết (knowledge base). Nếu phát hiện có dấu hiệu bất thường, hệ thống sẽ đưa ra cảnh báo. Cảm biến (sensor) là một thành phần chức năng của hệ thống phát hiện xâm nhập và phòng chống tấn công. Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi vào hệ thống sẽ đi qua các cảm biến đầu tiên. Chức năng của cảm biến là thu thập dữ liệu và chuyển dữ liệu đó đi. Có hai kiểu cảm biến là: dựa trên mạng (network-based) và dựa trên máy tính (host-based). Dữ liệu mạng cần được phân tích để phát hiện các dấu hiệu bất thường. Bộ phận giải mã và bộ phận tiền xử lý đóng vai trò quan trọng. Mô hình phát hiện bất thường (Anomaly Detection) cần được xây dựng.

II. Thách Thức Những Khó Khăn Trong Phát Hiện Xâm Nhập Mạng

Mặc dù có nhiều tiến bộ trong lĩnh vực phát hiện xâm nhập mạng, vẫn còn nhiều thách thức cần vượt qua. Các kỹ thuật tấn công ngày càng trở nên tinh vi hơn, đặc biệt là các cuộc tấn công zero-day, khiến cho việc phát hiện và ngăn chặn trở nên khó khăn hơn. Việc xử lý lượng lớn dữ liệu mạng (big data) để phân tích lưu lượng mạng và phát hiện các dấu hiệu bất thường cũng là một thách thức lớn. Ngoài ra, các hệ thống IDS cũng cần phải đối phó với các cuộc tấn công được mã hóa, cũng như giảm thiểu tỷ lệ cảnh báo sai (false positive rate) để tránh gây phiền toái cho người quản trị mạng. Các hệ thống IDS truyền thống thường gặp khó khăn trong việc phát hiện các cuộc tấn công mới và phức tạp, đòi hỏi sự phát triển của các phương pháp học máykhai phá dữ liệu tiên tiến hơn. Theo tài liệu gốc, 'IDS có thể tạo ra những cảnh báo sai lầm. Phản ứng với các cuộc tấn công hơn là ngăn chặn nó. Quy định điều khiển toàn bộ thời gian. Phụ thuộc vào tiến trình trả về hết sức phức tạp.' Điều này cho thấy sự cần thiết của việc cải thiện độ chính xác và hiệu quả của các hệ thống IDS.

2.1. Tấn Công Zero Day và Sự Cần Thiết Của Anomaly Detection

Tấn công zero-day là những cuộc tấn công khai thác các lỗ hổng bảo mật chưa được biết đến hoặc chưa được vá lỗi. Để đối phó với loại tấn công này, các hệ thống IDS cần phải dựa vào các phương pháp phát hiện bất thường (anomaly detection), thay vì chỉ dựa vào các mẫu tấn công đã biết (signature-based detection). Anomaly detection giúp phát hiện các hành vi bất thường trong lưu lượng mạng, có thể là dấu hiệu của một cuộc tấn công zero-day. Các phương pháp học máy có thể được sử dụng để xây dựng các mô hình phát hiện bất thường hiệu quả, bằng cách học từ dữ liệu mạng bình thường và phát hiện các hành vi sai lệch so với mô hình này. Các thuật toán phát hiện xâm nhập cần được cải tiến liên tục để đối phó với các mối đe dọa mới.

2.2. Vấn Đề Với Dữ Liệu Mã Hóa Và Các Giải Pháp

Các cuộc tấn công được mã hóa gây khó khăn cho các hệ thống IDS, vì chúng không thể phân tích gói tin để phát hiện các dấu hiệu tấn công. Để giải quyết vấn đề này, có thể sử dụng các kỹ thuật như giải mã SSL/TLS hoặc phân tích lưu lượng mạng dựa trên các đặc điểm của kết nối được mã hóa. Tuy nhiên, việc giải mã SSL/TLS có thể gây ra các vấn đề về quyền riêng tư và hiệu suất, đòi hỏi sự cân nhắc kỹ lưỡng. An ninh mạng cần được đảm bảo ngay cả khi dữ liệu được mã hóa. Phân tích lưu lượng mạng là một giải pháp thay thế khả thi.

2.3. Giảm Thiểu Tỷ Lệ Cảnh Báo Sai False Positive Rate

Tỷ lệ cảnh báo sai cao (high false positive rate) có thể gây ra sự mệt mỏi cho người quản trị mạng, khiến họ bỏ qua các cảnh báo quan trọng. Để giảm thiểu tỷ lệ cảnh báo sai, các hệ thống IDS cần phải được cấu hình và điều chỉnh cẩn thận, cũng như sử dụng các phương pháp phân tích dữ liệu tiên tiến để phân biệt giữa các hành vi bình thường và bất thường. IDS performance evaluation là rất quan trọng để đảm bảo tính hiệu quả. IDS accuracy cần được tối ưu hóa.

III. Ứng Dụng Học Máy Giải Pháp Cho Phát Hiện Xâm Nhập Mạng

Việc ứng dụng học máy (Machine Learning) trong phát hiện xâm nhập mạng đã mở ra một hướng đi mới đầy triển vọng. Các thuật toán học máy có khả năng học từ dữ liệu và tự động phát hiện các mẫu tấn công mới, giúp cải thiện đáng kể hiệu quả của các hệ thống IDS. Các phương pháp học máy có thể được sử dụng để xây dựng các mô hình phát hiện bất thường, phân loại các loại tấn công, và dự đoán các cuộc tấn công tiềm ẩn. Việc lựa chọn thuật toán học máy phù hợp phụ thuộc vào đặc điểm của dữ liệu mạng và yêu cầu của hệ thống IDS. Machine learning algorithms for intrusion detection cần được nghiên cứu và phát triển. Theo tài liệu gốc, 'IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng. Nó sẽ bắt và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng dữ liệu qua hệ thống mạng.' Việc áp dụng học máy giúp IDS có thể tự động học và cập nhật các mẫu tấn công mới mà không cần sự can thiệp thủ công.

3.1. Xây Dựng Mô Hình Phát Hiện Bất Thường Bằng Học Máy

Các thuật toán học máy như Support Vector Machines (SVM), Random Forests, và Neural Networks có thể được sử dụng để xây dựng các mô hình phát hiện bất thường. Các mô hình này học từ dữ liệu mạng bình thường và phát hiện các hành vi sai lệch so với mô hình này. Việc feature selectionfeature engineering đóng vai trò quan trọng trong việc cải thiện hiệu suất của các mô hình phát hiện bất thường. Các thuật toán phân loại cần được lựa chọn và tinh chỉnh cẩn thận. Mô hình phát hiện bất thường cần được đánh giá bằng các bộ dữ liệu mạng phù hợp.

3.2. Phân Loại Các Loại Tấn Công Mạng Bằng Kỹ Thuật Học Máy

Các thuật toán học máy cũng có thể được sử dụng để phân loại các loại tấn công mạng khác nhau, chẳng hạn như DDoS Attack, Application Layer Attack, và Botnet detection. Việc phân loại này giúp người quản trị mạng có thể ứng phó với các cuộc tấn công một cách hiệu quả hơn. Các thuật toán phân loại như Decision Trees, k-Nearest Neighbors (k-NN), và Naive Bayes có thể được sử dụng cho mục đích này. Kỹ thuật phân loại cần được áp dụng một cách chính xác và hiệu quả. Thuật toán phân loại giúp người quản trị mạng có thể ứng phó với các cuộc tấn công một cách hiệu quả hơn.

3.3. Dự Đoán Các Cuộc Tấn Công Tiềm Ẩn Dựa Trên Dữ Liệu Mạng

Dữ liệu mạng có thể được sử dụng để dự đoán các cuộc tấn công tiềm ẩn, bằng cách phân tích các xu hướng và mô hình trong lưu lượng mạng. Các thuật toán học máy như Recurrent Neural Networks (RNN) và Long Short-Term Memory (LSTM) có thể được sử dụng để xây dựng các mô hình dự đoán hiệu quả. An ninh mạng được nâng cao nhờ khả năng dự đoán các cuộc tấn công tiềm ẩn. Phân tích lưu lượng mạng đóng vai trò quan trọng trong việc phát hiện và ngăn chặn các cuộc tấn công mạng trước khi chúng gây ra thiệt hại.

IV. Deep Learning Bước Tiến Mới Trong Phát Hiện Xâm Nhập Nâng Cao

Công nghệ Deep Learning đang ngày càng được ứng dụng rộng rãi trong phát hiện xâm nhập mạng, nhờ khả năng học các biểu diễn phức tạp từ dữ liệu và phát hiện các mẫu tấn công tinh vi. Các mô hình mạng nơ-ron (Neural Networks) sâu có thể tự động trích xuất các đặc trưng quan trọng từ dữ liệu mạng, giúp cải thiện đáng kể hiệu quả của các hệ thống IDS. Các kiến trúc Deep Learning như Convolutional Neural Networks (CNN) và Recurrent Neural Networks (RNN) đã được chứng minh là rất hiệu quả trong việc phát hiện xâm nhập mạng. Deep learning models for intrusion detection cần được nghiên cứu và phát triển thêm. Theo tài liệu gốc, 'Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.' Deep Learning có thể giúp vượt qua những hạn chế này bằng cách tự động học và thích ứng với các mối đe dọa mới.

4.1. Mạng Nơ ron Tích Chập CNN Cho Phát Hiện Dựa Trên Gói Tin

Mạng nơ-ron tích chập (CNN) có thể được sử dụng để phân tích gói tin và phát hiện các dấu hiệu tấn công dựa trên nội dung của gói tin. CNN có khả năng học các đặc trưng quan trọng từ dữ liệu gói tin, giúp phát hiện các cuộc tấn công tinh vi mà các phương pháp truyền thống không thể phát hiện. Mạng nơ-ron là một công cụ mạnh mẽ để phân tích dữ liệu an ninh mạng.

4.2. Mạng Nơ ron Hồi Quy RNN Cho Phân Tích Lưu Lượng Dạng Chuỗi

Mạng nơ-ron hồi quy (RNN) có thể được sử dụng để phân tích lưu lượng mạng dạng chuỗi và phát hiện các mẫu tấn công dựa trên trình tự các gói tin. RNN có khả năng ghi nhớ các thông tin trước đó trong chuỗi, giúp phát hiện các cuộc tấn công phức tạp có nhiều giai đoạn. Mạng nơ-ron là một công cụ mạnh mẽ để phân tích dữ liệu an ninh mạng.

4.3. Kết Hợp Deep Learning Và Ensemble Learning Để Nâng Cao Độ Chính Xác

Ensemble Learning là một phương pháp kết hợp nhiều mô hình học máy khác nhau để nâng cao độ chính xác và độ tin cậy của kết quả. Việc kết hợp Deep LearningEnsemble Learning có thể giúp cải thiện đáng kể hiệu quả của các hệ thống IDS, bằng cách tận dụng ưu điểm của cả hai phương pháp. Ensemble Learning giúp giảm false positive rate và tăng khả năng phát hiện các cuộc tấn công tinh vi.

V. Ứng Dụng Thực Tế Phát Hiện Xâm Nhập Mạng Trong Mạng Bộ KH CN

Luận văn này có thể tập trung vào việc xây dựng và triển khai một hệ thống phát hiện xâm nhập mạng cụ thể cho hệ thống mạng của Bộ Khoa học và Công nghệ (KH&CN). Việc này đòi hỏi việc phân tích lưu lượng mạng của Bộ KH&CN, xác định các mối đe dọa tiềm ẩn, và lựa chọn các phương pháp học máy phù hợp để phát hiện và ngăn chặn các cuộc tấn công. Hệ thống cần phải được thiết kế để có thể tích hợp với các hệ thống an ninh mạng hiện có của Bộ KH&CN, cũng như có khả năng mở rộng và cập nhật dễ dàng. Theo tài liệu gốc, 'Bộ Khoa học và Công nghệ là một cơ quan nhà nước có hệ thống mạng thông tin khá phát triển. Hệ thống mạng Bộ Khoa học và Công nghệ được xây dựng vào những năm 1997-1998.' Điều này cho thấy sự cần thiết của việc bảo vệ hệ thống mạng này khỏi các cuộc tấn công.

5.1. Phân Tích Lưu Lượng Mạng Của Bộ KH CN Để Xác Định Các Mối Đe Dọa

Việc phân tích lưu lượng mạng của Bộ KH&CN giúp xác định các mẫu lưu lượng bất thường, các ứng dụng và dịch vụ được sử dụng, và các lỗ hổng bảo mật tiềm ẩn. Các thông tin này có thể được sử dụng để xây dựng các mô hình phát hiện bất thường và cấu hình các hệ thống IDS một cách hiệu quả hơn. Việc sử dụng các công cụ phân tích gói tin như Wireshark và tcpdump có thể giúp trong quá trình này. Dữ liệu mạng cần được thu thập và phân tích một cách cẩn thận.

5.2. Xây Dựng Hệ Thống IDS Dựa Trên Phần Mềm Mã Nguồn Mở Snort

Snort là một hệ thống IDS mã nguồn mở phổ biến, có thể được sử dụng để xây dựng một hệ thống phát hiện xâm nhập mạng cho Bộ KH&CN. Snort cung cấp nhiều tính năng mạnh mẽ, bao gồm phân tích gói tin, phát hiện bất thường, và tạo luật tùy chỉnh. Việc sử dụng Snort giúp giảm chi phí và tăng tính linh hoạt của hệ thống IDS. Cần phải cấu hình phần mềm phát hiện xâm nhập một cách chính xác.

5.3. Đánh Giá Hiệu Suất Của Hệ Thống IDS Trong Môi Trường Thực Tế

Việc đánh giá hiệu suất của hệ thống IDS trong môi trường thực tế là rất quan trọng để đảm bảo tính hiệu quả của hệ thống. Các chỉ số như IDS accuracy, false positive rate, và false negative rate cần phải được đo lường và phân tích để đánh giá hiệu quả của hệ thống. Việc sử dụng các bộ dữ liệu mạng như Dataset CICIDS2017, NSL-KDD dataset, và UNSW-NB15 dataset có thể giúp trong quá trình đánh giá.

VI. Kết Luận Và Hướng Phát Triển Tương Lai Của Phát Hiện Xâm Nhập

Luận văn này có thể kết luận bằng việc tóm tắt các kết quả nghiên cứu chính, thảo luận về các hạn chế của nghiên cứu, và đề xuất các hướng phát triển trong tương lai. Các hướng phát triển có thể bao gồm việc nghiên cứu các phương pháp học máy mới, phát triển các hệ thống IDS có khả năng tự động thích ứng với các mối đe dọa mới, và xây dựng các hệ thống IDS dựa trên Big Data analytics for intrusion detection. Tương lai của phát hiện xâm nhập mạng hứa hẹn nhiều tiềm năng, với sự phát triển của các công nghệ mới như Cloud-based intrusion detection, IoT intrusion detection, và SCADA intrusion detection. Việc nghiên cứu và phát triển các hệ thống IDS hiệu quả là vô cùng quan trọng để bảo vệ hệ thống mạng khỏi các cuộc tấn công ngày càng tinh vi. Theo tài liệu gốc, 'Việc nghiên cứu và phát triển các sản phẩm về an ninh thông tin nói chung và an ninh mạng nói riêng là một nhu cầu bức thiết đối với hệ thống mạng Bộ Khoa học và Công nghệ.' Điều này nhấn mạnh tầm quan trọng của việc tiếp tục nghiên cứu và phát triển trong lĩnh vực này.

6.1. Nghiên Cứu Các Phương Pháp Học Máy Mới Cho Phát Hiện Xâm Nhập

Việc nghiên cứu các phương pháp học máy mới, chẳng hạn như Reinforcement Learning và Generative Adversarial Networks (GANs), có thể giúp cải thiện đáng kể hiệu quả của các hệ thống IDS. Các phương pháp này có khả năng học các biểu diễn phức tạp từ dữ liệu và phát hiện các mẫu tấn công tinh vi mà các phương pháp truyền thống không thể phát hiện. Thuật toán phát hiện xâm nhập cần được cải tiến liên tục.

6.2. Phát Triển Hệ Thống IDS Tự Động Thích Ứng Với Các Mối Đe Dọa

Các hệ thống IDS trong tương lai cần phải có khả năng tự động thích ứng với các mối đe dọa mới, bằng cách tự động cập nhật các luật và mô hình phát hiện. Việc sử dụng các phương pháp học máy trực tuyến (online learning) có thể giúp các hệ thống IDS học liên tục từ dữ liệu mới và thích ứng với các thay đổi trong lưu lượng mạng. An ninh mạng cần được đảm bảo ngay cả trong bối cảnh các mối đe dọa liên tục thay đổi.

6.3. Xây Dựng Hệ Thống IDS Dựa Trên Big Data Analytics Cho An Ninh Mạng

Big Data analytics for intrusion detection có thể giúp xử lý lượng lớn dữ liệu mạng và phát hiện các mẫu tấn công tinh vi mà các phương pháp truyền thống không thể phát hiện. Việc sử dụng các công cụ và kỹ thuật Big Data như Hadoop, Spark, và Kafka có thể giúp xây dựng các hệ thống IDS có khả năng mở rộng và hiệu quả. Phân tích lưu lượng mạng cần được thực hiện một cách hiệu quả và nhanh chóng.

24/09/2025

Trích đoạn nội dung tài liệu

Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng 1.1 - Hệ thống phát hiện xâm nhập là gì ? Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức, và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý. Thuật ngữ phát hiện xâm nhập (intrusion detection) có thể coi là chưa chính xác khi là hệ thống phát hiện xâm nhập không hoàn toàn là phát hiện xâm nhập, nó chỉ dò tìm các hành động qua giao thông mạng để đoán xem các hành động đó có là một cuộc xâm nhập hay không. Hệ thống phát hiện xâm nhập là một phần của hệ thống bảo mật, nó được cài đặt trên hệ thống và các thiết bị. Tuy nhiên nó không đứng một mình trong hệ thống bảo mật (thường thì kết hợp với FireWall).

Ta có thể kết hợp sử dụng FireWall để khóa cửa sau, hệ thống phát hiện xâm nhập và cảnh báo và hệ thống chống tấn công bằng chó canh cổng. Giả sử bạn có một kho chứa các tài liệu bí mật và bạn muốn bảo vệ chúng với hàng rào bảo vệ gồm hệ thống cảnh báo, khóa cả cửa ra vào, đặt cameras theo dõi. Việc khóa các cửa ra vào sẽ giúp dừng các hành động bất hợp pháp khi đi vào kho của bạn, tuy nhiên nó lại không làm gì để cảnh báo về một cuộc xâm nhập, nhưng nó ngăn chặn được cuộc xâm nhập đó. Hệ thống cảnh báo thì lại cảnh báo với bạn trong trường hợp có ai đó cố gắng lấy thông tin trong kho, nhưng bản thân nó lại không thể ngăn chặn xâm nhập.

Và cuối cùng là chó canh cổng, trong một vài trường hợp, nó có khả năng chặn các cuộc xâm nhập bắt hợp pháp. Như đã phân tích ở trên thì the khóa cửa, hệ thống báo động, and chó canh cổng phân chia nhiệm vụ trong một hệ thống bảo mật. Nó cũng đúng với tường lửa, IDS và IPS. Việc kết hợp ngăn chặn, cảnh báo và phòng chống tấn công sẽ làm tăng sức mạnh an ninh cho hệ thống mạng.

Một vấn đề quan trọng là IDS và IPS chỉ là hai trong nhiều phương pháp được sử dụng trong hệ thống bảo mật. Việc tiếp cận các tầng, phòng thủ theo chiều sâu trên cơ sở phân tích cẩn thận các rủi ro có thể sẽ quyết định việc bảo vệ thông tin. Điều này có nghĩa là hệ thống mạng cần thiết phải được bảo mật theo nhiều lớp, mỗi lớp sẽ có những chức năng riêng, để đảm bảo sự toàn diện trong bảo mật TIEU LUAN MOI download : skknchat@gmail.com 8 một hệ thống mạng trong tổ chức của bạn. Hình dưới đây là mô hình phòng thủ theo chiều sâu của hệ thống mạng.

Hình 1: Sơ đồ phòng thủ mạng - Your enterprise: tổ chức của bạn - Technology: Công nghệ - Operations: Các hoạt động - People: Con người - Outside threats: các mối hiểm họa từ bên ngoài IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng. Nó sẽ bắt và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng dữ liệu qua hệ thống mạng. Hoạt động của nó gần giống với một phần mềm diệt virus với các dấu hiệu tấn công có sẵn trong cơ sở dữ liệu của nó.2 - Các kiểu của hệ thống IDS IDS có ba kiểu chính : Phát hiện xâm nhập tại một máy, phát hiện xâm nhập trên toàn hệ thống mạng, và cuối cùng là sự kết hợp của cả hai kiểu trên.  Phát hiện xâm nhập tại máy trạm: Host-based intrusion-detection system (HIDS).

TIEU LUAN MOI download : skknchat@gmail.com 9  Phát hiện xâm nhập trên toàn hệ thống mạng: Network-based intrusion-detection system (NIDS).  Kết hợp cả hai kiểu trên (Hybrid IDS). HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự kiện. Nó sẽ kiểm tra bất kỳ một hành động nào trên nhật ký để xem nó có khớp với các sự kiện bất thường được ghi trong cớ sở dữ liệu không.

Một hệ thống NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công. NIDS nhận tất cả các gói tin trên các phân đoạn mạng được chỉ định (thậm chí gồm cả những gói tin đi đến chuyển mạch của mạng). Nó cẩn thận trong việc cấu trúc lại các luồng thông tin đó để tiện cho việc phân tích và so sánh chúng với các mẫu có sẵn trong cơ sở dữ liệu. Hầu hết các NIDS đều được cung cấp khả năng ghi lại các hành động diễn ra trên mạng và gửi những cảnh báo tới nhà quản trị với những hành động bất thường.

Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều có những ưu và nhược điểm khác nhau. Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phạm vi rộng (trên toàn hệ thống mạng) Phạm vi hẹp (Chỉ trên một máy xác định) Cài đặt phức tạp Dễ cài đặt Tốt cho việc phát hiện xâm nhập từ bên Tốt cho việc phát hiện xâm nhập từ bên ngoài mạng trong Tốn kém Ít tốn kém hơn TIEU LUAN MOI download : skknchat@gmail.com 10 Hệ thống phát hiện xâm nhập NIDS và HIDS NIDS HIDS Phát hiện trên sở sở nhưng thứ được ghi Phát hiện dựa vào bản ghi nhật ký hệ lại trên toàn hệ thống mạng thống trên chỉ máy đó Kiểm tra phần đầu (header) của gói tin Không kiểm tra phần đầu (header) của gói tin Trả lời gần như ngay lập tức Chỉ trả lời sau khi một hành động trái phép cố gắng thực hiện Không phụ thuộc hệ điều hành Phụ thuộc hệ điều hành Dò tìm tấn công bằng cách phân tích dữ Dò tìm các cuộc tấn công tại chỗ trước liệu trong gói tin khi nó ra khỏi hệ thống mạng Dò tìm các cố gắng tấn công Kiểm tra sự thành công và thất bại của một cuộc tấn công Bảng 1: Phân biệt NIDS và HIDS Quy trình cơ bản của một IDS là nó sẽ chọn lựa dữ liệu, tiền xử lý (processing) và tập hợp chúng. Việc phân tích mang tính thống kê (statistical analysis) kết thúc sẽ quyết định thông tin là một hoạt động bình thường hay không. Hoặc dữ liệu sẽ được đưa đến để so sánh với cơ sở dữ liệu (knowledge base), nếu khớp thì cảnh báo sẽ được đưa ra.

TIEU LUAN MOI download : skknchat@gmail.com 11 Hình 2: Một IDS chuẩn - GUI: giao diện đồ họa - Response Manager: Bộ phản hồi - Host system or network sniffrer: bộ cảm biến mạng và máy tính - Pre-processing: bộ tiền xử lý -Alert manager: bộ báo động - Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu - Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công - Long-term storage: nơi phát hiện dị thường 1.3 - Giải thích hoạt động cơ bản của IDS Gói tin bị bắt từ cảm biến trên máy tính (sensor - host system) hoặc cảm biến mạng (network sniffer) sẽ được chuyển qua bộ sắp xếp. Bộ tiền xử lý: gồm bộ phận giải mã và bộ phận tiền xử lý:  Bộ phận giải mã: giải mã gói tin, nhận biết các trường trong gói tin.  Bộ phận sắp xếp: sắp xếp hoặc chỉnh sửa lại gói tin trước khi đi vào bộ phát hiện. TIEU LUAN MOI download : skknchat@gmail.com 12 Một số mô-đun này có khả năng phát hiện các gói tin dị thường trong phần đầu (header) và sinh ra cảnh báo.

Ngoài ra, nó có thể tái định dạng gói tin (defragment), sắp xếp lại chuỗi. Bộ phát hiện (Detection engine): xảy ra quá trình phân tích gói tin: so sánh mẫu (signature matching) hoặc phân tích các dị thường trong gói tin (statictical analysis) để đưa ra đầu ra (alert manager) quyết định. Cơ sở dữ liệu lưu trữ mẫu dấu hiệu tấn công (knowledgebase). :Nơi chứa các phát hiện dị thường của packet, không được định nghĩa trước (Long- term storage).

Bộ phản hồi (Response manager): thực thi đáp ứng của bộ báo động (alert manager) như: ghi nhật ký, hiển thị lên giao diện. GUI: giao diện đồ họa tương tác.4 - Cảm biến (sensor) Cảm biến là một thành phần chức năng của hệ thống phát hiện xâm nhập và phòng chống tấn công. Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi vào hệ thống sẽ đi qua các cảm biến đầu tiên.1 - Chức năng của cảm biến Cảm biến là thành phần quan trọng của hệ thống phát hiện tấn công. Tuy nhiên nó không quá phức tạp, chúng được thiết kế chỉ để giành được dữ liệu và chuyển dữ liệu đó đi.

Có hai kiểu cảm biến là : dựa trên mạng (network-based) và dựa trên máy tính (host-based).2 - Cảm biến dựa trên mạng Cảm biến dựa trên mạng có thể là chương trình hoặc thiết bị vật lý có khả năng bắt dữ liệu lưu thông qua local Ethernet hoặc Tokenring hoặc điểm rẽ nhánh của mạng (switch). Ưu điểm lớn nhất của cảm biến này là không phụ thuộc vào số lượng máy tính trong một mạng.Trong môi trường tốt, một cảm biến có thể đuợc sử dụng để điều khiển toàn bộ giao thông đến và ra khỏi mạng. Nếu mạng lớn có hàng nghìn máy tính, cảm biến vẫn có thể thu thập đuợc thông tin về dữ liệu lưu thông TIEU LUAN MOI download : skknchat@gmail.com 13 của tất cả các máy đó. Thêm vào đó, nếu có chính sách cũng như cấu hình hợp lý thì cảm biến cũng sẽ không ảnh hưởng lớn đến tốc độ lưu thông của mạng.

Tcpdump là một trong những chương trình được sử dụng là cảm biến rất nhiều. Nó có tác dụng bắt các gói tin lưu thông qua giao tiếp mạng nó quản lý, sau đó phân tích thông tin về gói tin bao gồm ngay giờ, địa chỉ IP nguồn và đích, cờ TCP, độ lớn dữ liệu, .3 - Cảm biến dựa trên máy tính Giống như cảm biến dựa trên máy tính, cảm biến dựa trên mạng có khả năng bắt dữ liệu trên giao tiếp mạng rồi gửi chúng tới nơi khác. Sản phẩm của cảm biến dựa trên máy tính thường là ghi dữ liệu ra nhật ký rồi gửi tới các chương trình phân tích được đặt trên cùng một máy tính.4 - Vị trí đặt cảm biến Vị trí của cảm biến trong hệ thống mạng là rất quan trọng. Nhìn hình phía dưới sẽ thấy được những nơi có thể đặt cảm biến.

Ta có thể đặt cảm biến tại điểm A để có thể nhìn thấy tất cả các dữ liệu lưu thông giữa internet và mạng cục bộ nhưng lại không thể nhìn thấy dữ liệu giữa DMZ và Internet.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ