Hệ thống phát hiện xâm nhập(IDS) Ngô Văn Công IDS(Intrusion detect system)  Phát hiện ra các cuộc tấn công và thăm dò máy tính  Ngăn chặn  Phát hiện  Đề phòng các cuộc tấn công  Đánh giá thiệt hại  Instrution detection: quy trình xác định một sư xâm nhập đã được thử, đang xuất hiện, hay đã xuất hiện Các thuật ngữ  Phát hiện xâm nhập(Intrusion detection): Phát hiện ra các truy cập trái phép vào máy tính  Phát hiện sự kiện không bình thường(Anomaly detection) IDS làm việc như thế nào?  Phát hiện ra xâm nhập  Trong quá khứ • Đọc tập tin log sinh ra bởi các hệ thống bảo mật(firewall)  Ngày nay • Quy trình xem xét các tập tin log, theo dõi sự hoạt động các tài nguyên được làm bởi IDS • sự sử dụng CPU, I/O ổ đĩa, bộ nhớ và các thao tác người dùng, số lần đăng nhập hệ thống  IDS  Duy trì một cơ sở dữ liệu các tập tin ký hiệu về các đặc trưng của các cuộc tấn công  Mọi cuộc tấn công đều có: đặc tính, mẫu và hành vi->ký hiệu  Phát hiện ra cuộc tấn công hay xâm nhập bằng cách so khớp các dấu hiệu của cuộc tấn công với các tập tin dấu hiệu trong csdl (tt)  Lỗi False-positive phát sinh khi mà IDS xem một hành vi bình thương trên mạng như là một sự tấn công của hacker  Lỗi False-negative xuất hiện khi IDS bỏ qua một cuộc xâm nhập vào hệ thống và xem xét nó như là hành động bình thường trong mạng IDS vs Firewall  Thường có sự nhầm lẫn giữa chức năng của IDS và Firewall  Firewall hoạt động bằng cách ngăn chặn mọi thứ sau đó người dùng sẽ lập trình để chó phép một số mục nào đó được đi qua  Firewall cho phép người dùng nội bộ có thể truy cập ra bên ngoài nhưng ngăn chăn người dùng bên ngoài truy cập vào hệ thống mạng nội bộ  Firewall không phải là một hệ thống động để có thể phán đoán một cuộc tấn công đang được thực hiện IDS vs Firewall(tt)  IDS là hệ thống động hơn, nó có khả năng phát hiện ra các cuộc tấn công vào mạng  Xem xét ví dụ:  Một nhân viên của công ty nhận được email của một nhân viên khác nói rằng anh ta tìm được một tài liệu đã bị mất từ lâu, nhân viên mở email mà nhấp chuột vào tập tin thực thi đính kèm, tài liệu thực thi có một Trojan đính kèm với nó, Trojan sẽ mở một kết nối đến máy tính của hacker, lúc này firewall sẽ không ngăn chặn hacker thực hiện cuộc tấn công bằng cổng chung 80 Vì firewall chỉ cấu hình để ngăn chặn các kết nối ra bên ngoài tới một số port, nó xem các kết nối HTTP tới webserver chỉ là một kết nối khác  Nếu hệ thống IDS được cài đặt thì nó có thể đưa ra cảnh báo như là hành động không thường xuyên trong mạng Các loại IDS  Để phát hiện được các cuộc xâm nhập IDS thường dựa trên 2 kỹ thuật sau  Anomaly-Detection Technique  Misuse-Dectection Technique Anomaly-Detection Technique  Dựa trên giả thuyết là tất cả các hành động không giống với một tập các mẫu hành vi thì là các hành động bất thường  IDS nhận biết tiểu sử các hành động bình thường trên mạng nếu bất kỳ hành vi nào không giống tiểu sử này thi là môt hành vi không bình thường và đưa ra một cảnh báo  Tạo một vạch ranh giới cho các hành vi bình thường, thường được sinh ra dựa thống kê ghi nhận từ hành vì nhập/xuất, sử dụng CPU, bộ nhớ, hoạt động của người dùng. Misuse-Detection Technique  Xem các cuộc tấn cộng như các mẫu và dấu hiệu  Duy trì một cơ sở dữ liệu các dấu hiệu của các cuộc tấn công  Một cảnh báo phát sinh khi một đợt tấn công nào đó giống với mẫu trong csdl.  Hoạt động giống như hệ thống antivirus  Không phát sinh lỗi false-positive nhưng không phát hiện được các kiểu tấn công chưa được phát hiện trước đó [...]... xâm nhập vào các agent và thay đổi thông tin bên trong So sánh IDS mạng và IDS host Thuận lợi IDS Mạng IDS Host Ngăn cản Ngăn cản yếu đối với Ngăn cản mạnh đối xâm nhập bên trong với xâm nhập bên trong Phát hiện Phát hiện tốt đ/với xâm nhập từ bên ngoài Phát hiện tốt xâm nhập từ bên trong Phát hiện yếu các xâm nhập bên trong Phát hiện yếu các xâm nhập bên ngoài Trả lời Thời gian thực đối với các xâm. .. các xâm nhập bên ngoài thời gian thực đối với xâm nhập bên trong Đánh giá thiệt hại Yếu Mạnh Honeypot: Công cụ bổ sung cho IDS  Công cụ khác dùng để phát hiện ra các cuộc xâm nhập vào hệ thống  Hoạt động dựa trên nguyên tắc lừa dối  Mục đích nhằm lừa tin tặc bằng cách giả lập một máy tính có thể bị xâm nhập trên mạng  Honeypot dùng bởi IDS để phát hiện ra các cách khác nhau làm tổn thương hệ thống. .. workstation tổng tòan bộ dữ liệu phát sinh lên đến 800 MB một ngày (tt)  Triển khai và bảo trì  Khó vì là hệ thống phân tán  cần có cơ chế cập nhật từ xa  Dễ bị tổn thương  Mục đích của việc cài đặt IDS sẽ bị thất bại nếu như hacker có thể xâm nhập vào hệ thống đích và tắt các agent  IDS thường không hiệu quả trong lần xâm nhập đầu tiên của hacker, chỉ hiệu quả phát hiện các hành vi đã được định... khác nhau làm tổn thương hệ thống  Khi tin tặc tấn công thì các hoạt động của nó sẽ ghi trong log file  IDS dựa trên log file này để phát hiện các kiểu tấn công tương tự Các kiểu honeypot  Production honeypot  Hỗ trợ phát hiện xâm nhập mà hệ thống IDS không phát hiện được  Research honeypot  Dùng cho mục đích nghiên cứu  Triên khai để phân tích các hoạt động tấn công của tin tặc Sử dụng honeypot... Tip-off  Phát hiện ra xâm nhập vào mạng tại thời điểm mà nó được thực hiện  Surveillance  Quan sát các hành vi của một tập các thành phần trên mạng Lợi ích từ IDS mạng  Cản trở(Deterrence)  Phát hiện( Detection)  Cơ chế thông báo và trả lời tự động  Cấu hình lại firewall/router  Hủy bỏ kết nối IDS Host  IDS Host dùng các thông tin của máy tính đích(host)  Dữ liệu nguồn  Các sự kiện hệ thống( System... thống( System event log)  Các sự kiện ứng dụng(Application Log)  Hiệu quả phát hiện các xâm nhập bên trong mạng Tấn công được phát hiện bởi IDS host  Lạm dụng đặc quyền(misuse of privileged rights): xuất hiện khi người dùng được cấp quyền root, admin và dùng quyền này vào mục đích không hợp pháp  Sử dụng sai đặc quyền cao:Quản trị hệ thống thường cấp đặc quyền cao cho người dùng để họ có thể cài đặt các... ở trên máy đích agent trên máy đích cho phép hệ thống đích thực hiện các họat động có đặc quyền cục bộ • Chạy như tiến trình nền trong Unix và như dịch vụ trong window • Chạy một hoặc nhiều agent trên hệ thống đích  Centralized Host-Based Architecture Centralized Host-Based Architecture Cách thức hoạt động  1 Khi một hành động được thực hiện trong hệ thống( file đang được truy cập hay là một chương... lắng nghe trên mạng bằng các bộ cảm biến gắn trên máy tính đích 3 Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin này với các mẫu định nghĩa trước, nếu tương đương thì một cảnh báo sẽ được đưa ra 4 Thông qua mành hình dòng lệnh, bộ phận bảo mật se thông báo cho người dùng 5 Một câu trả lời sẽ được phát sinh tự động bởi hệ thống trả lời 6 Lưu trữ cảnh báo(mẫu) để xem lại và đánh giá sau này 7 Tạo... thì một sự kiện được tạo ra  2 Agent của hệ thống đích sẽ gửi tệp tới trung tâm điều khiển cách một khoảng thời gian và trên đường truyền bảo mật  3 Bộ máy phát hiện sẽ so sánh mẫu hành vi của tập tin với những hành vi được định nghĩa trước  5 Nếu như hành vi mà trùng với các mẫu hành vi đã định nghĩa trước, một cảnh báo sẽ được sinh ra và chuyển cho các hệ thống con để đưa ra các thông báo, trả lời... gồm các công cụ để thiết lập các chính sách  Bộ cảm biến(Sensor)  Tìm kiếm gói tin  Alert Notification  Cảnh báo về một cuộc tấn công (hiện thông báo lên màn hình, gửi mail)  Response Subsystem  Khi phát hiện tấn công có các hành động phản hồi lại  Database  Hệ thống lưu trữ tất cả các hoạt động ghi nhận từ IDS IDS mạng  Bao gồm các bộ cảm biến được triển khai trên toàn bộ mạng để theo dõi và