Hệ thống phát hiện xâm nhập trái phép tên mạng (NIDS)

Luận Văn: Hệ thống phát hiện xâm nhập trái phép tên mạng (NIDS)

MỤC LỤC

MỤC LỤC………1

LỜi NÓI ĐẦU……… 3

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG……… 4

2.2 Hệ thống phát hiện xâm nhập IDS (Instrusion Detection System)……….14

2.2.1 Định nghĩa, chức năng và nguyên lý làm việc………14

2.3.4 Triển khai và điều chỉnh hệ thống NIDS………33

2.3.5 Đánh giá một hệ thống NIDS (value of NIDS)……… 39

2.3.6 Tối ưu hoá giá trị của NIDS………40

2.3.7 NIDS & Firewall……….42

2.3.8 Tổng kết……… 43

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG NIDS………44

3.1 Mục đích……….44

3.2 Phân tích và thiết kế chương trình……… 44

TÀI LIỆU THAM KHẢO……… 45

LỜI NÓI ĐẦU

Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽ đemlại những lợi ích và ứng dụng vô cùng to lớn cho con người Mạng máy tính rađời, mở rộng và phát triển không ngừng tạo nên hệ thống mạng Internet toàn cầu.Ngày càng có nhiều người nhận ra lợi ích của việc nối mạng (để chia sẻ tàinguyên, có thể trao đổi và tìm kiếm thông tin hiệu quả, nhanh chóng, tiết kiệm thờigian và chi phí, ), Internet đã thực sự trở thành một phần không thể thiếu trongcuộc sống của con người, thông tin liên lạc qua Internet đã trở nên quen thuộc vớihầu hết mọi người.

Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trung gian,nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằng thông tinkhi đến tay người nhận không bị thay đổi hoặc không bị sao chép Chúng ta đãđược nghe nhiều về vấn đề thông tin bị đánh cắp gây những thiệt hại nghiêm trọnghay những kẻ thường xuyên trộm tin của người khác, thậm chí ăn trộm mật khẩuvà giả mạo nhằm phá hoại việc giao dịch Thực tế cũng đã cho thấy số các vụ tấncông vào mạng ngày càng tăng, các kỹ thuật tấn công ngày càng mới và đa dạng.Chính vì thế mà vấn đề an toàn được đặt lên hàng đầu khi nói đến việc truyềnthông trên mạng

Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soátlối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cảcác thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệutrước khi truyền, ký trước khi truyền,

Trong nội dung đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện

xâm nhập trái phép trên mạng (NIDS-Network Intrusion Detection System).

§Ò tµi: X©y dùng hÖ thèng ph¸t hiÖn x©m nhËp trªn m¹ng (NIDS Network Intrusion detection System)

-CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG1.1 Các mục tiêu cần bảo vệ

Sự ra đời và phát triển của Internet là một bước ngoặt lớn trong lịch sử nhânloại Hệ thống thông tin khổng lồ trên Internet được chia sẻ trên khắp thế giới Tuynhiên, đồng thời với lợi ích to lớn của nó, mạng Internet cùng với các công nghệliên quan cũng cho thấy mặt hạn chế tất yếu là tính mất an toàn, dễ bị xâm phạm,tấn công Hậu quả của các cuộc tấn công có thể chỉ là những phiền phức nhỏnhưng cũng có thể làm suy yếu hoàn toàn hệ thống, các dữ liệu, thông tin quantrọng bị xóa, sự riêng tư bị xâm phạm,…Do đó, nhiệm vụ của chúng ta là phảitránh tối đa sự mất an toàn, hay nói một cách khác là phải bảo vệ sự an toàn cho hệthống, suy nghĩ của chúng ta phải đi kịp với sự phát triển công nghệ

Các đối tượng cần đảm bảo an ninh bao gồm: Dữ liệu:

Dữ liệu truyền đi trên mạng phải đáp ứng được các yêu cầu về:

- Tính mật (Confidentiality): Đảm bảo thông tin không thể bị truy cập trái

phép bởi những người không có thẩm quyền.

- Tính toàn vẹn (Integrity): Đảm bảo thông tin không bị thay đổi trong quá

trình truyền

- Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi có yêu

cầu truy cập. Tài nguyên:

Tài nguyên bao gồm các thành phần phần cứng và phần mềm của hệthống Kẻ tấn công có thể lợi dụng các lỗ hổng an ninh như các lỗ hổng vềhệ điều hành, mạng, ứng dụng Nếu máy tính không có dữ liệu quan trọngthì vẫn rất cần được bảo vệ bởi vì kẻ tấn công có thể đột nhập và sử dụngnó làm tiền đề cho các cuộc tấn công khác

Sau đây, chúng ta sẽ xem xét tổng quan về các kiểu tấn công đó:

Tấn công làm gián đoạn (Interruption Attack)

Điển hình cho kiểu tấn công này là tấn công từ chối dịch vụ DoS (Denial of

Service) Đây là hành động mà kẻ tấn công lợi dụng đặc điểm hoặc lỗi an toàn thôngtin của một hệ thống dịch vụ nhằm làm ngưng trệ hoặc ngăn cản người dùng truynhập dịch vụ đó

Cuộc tấn công này không lấy mất thông tin của hệ thống, nó thường chỉ gâycho chương trình hoặc hệ thống bị đổ vỡ hoặc bị treo, tê liệt từng phần hoặc toàn bộ,buộc người quản trị dịch vụ đó phải tạm ngừng cung cấp dịch vụ và khởi động lại hệthống Việc ngừng hoạt động trong một thời gian nhất định của các hệ thống dịch vụgây ra những thiệt hại đáng kể.

Có hai kiểu tấn công từ chối dịch vụ dựa theo đặc điểm của hệ thống bị tấncông, thứ nhất là gây quá tải khiến cho hệ thống mất khả năng phục vụ cho ngườidùng thực sự, thứ hai là dựa vào lỗi an toàn thông tin của hệ thống để từ đó gây chohệ thống bị treo, tê liệt.

Với loại thứ nhất, việc gây quá tải được thực hiện bằng cách gửi rất nhiều yêucầu dịch vụ giả Để giải quyết một yêu cầu dịch vụ, hệ thống phải tốn một lượng tàinguyên nhất định (CPU, bộ nhớ, đường truyền…) Lượng tài nguyên là giới hạn, khinhận được quá nhiều yêu cầu dịch vụ giả, hệ thống sẽ sử dụng toàn bộ tài nguyên đểđáp ứng các yêu cầu đó và không còn tài nguyên để đáp ứng yêu cầu thực sự kháccủa người dùng, người dùng sẽ không thể truy nhập được vào hệ thống dịch vụ.

Với loại tấn công từ chối dịch vụ thứ hai, kẻ tấn công lợi dụng kẽ hở an toànthông tin của hệ thống, cố ý gửi các yêu cầu hoặc các gói tin không hợp lệ khiến chohệ thống bị tấn công khi nhận được yêu cầu hay gói tin này Việc xử lý không đúnghoặc không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ cho chính hệ thống đó.Phần lớn các kẽ hở này xuất phát từ lỗi phần mềm Khi kẻ tấn công gửi những thứkhông nằm trong các khả năng đã dự tính, thì phần mềm dễ dàng bị lỗi, gây đổ vỡhệ thống Ví dụ điển hình cho lỗi này là kiểu tấn công Ping of Death vào năm 1995,gây treo hoặc đổ vỡ cho rất nhiều hệ thống Ngoài ra, một số ít các kẽ hở lại xuấtphát từ chính nguyên lý hoạt động của hệ thống, đặc biệt là nguyên lý của bộ giaothức mạng TCP/IP Ví dụ điển hình của kiểu tấn công này là SYN flooding, gây chohệ thống dịch vụ mất khả năng tiếp nhận kết nối TCP.

Hiện tại chưa có biện pháp hữu hiệu nào để phòng chống tấn công từ chối dịchvụ, nhất là kiểu tấn công gây quá tải Nhà cung cấp dịch vụ chỉ có thể hạn chế chứkhó có thể giữ cho dịch vụ của mình luôn sẵn sàng trước mọi cuộc tấn công từ chốidịch vụ.

Biện pháp tốt nhất hiện nay để chống lại các cuộc tấn công từ chối dịch vụ,nhất là kiểu tấn công dựa vào lỗi an toàn thông tin của hệ thống, là các nhà cung cấpdịch vụ phải liên tục cập nhật phiên bản sửa lỗi phần mềm mới nhất cho hệ thốngcủa mình Đồng thời các nhà cung cấp dịch vụ phải xây dựng và quản trị hệ thốngsao cho chúng ít có khả năng bị lợi dụng để phát động tấn công từ chối dịch vụ

Tấn công DoS thực hiện đồng thời từ nhiều địa chỉ khác nhau được gọi là tấncông DDoS (Distributed-DoS).

Tấn công ngăn chặn (Interception Attack)

Kiểu tấn công này sử dụng các bộ nghe trộm để bắt giữ password và các thôngtin nhạy cảm khác được truyền qua lại trên mạng Nhờ nghe trộm password kẻ tấncông có thể lấy được mật khẩu của người sử dụng, sau đó chúng truy nhập mộtcách chính quy vào hệ thống.

Để hạn chế kiểu tấn công này, chúng ta thực hiện phân đoạn hệ thống mạng vàsử dụng các Hub chuyển đổi.

Tấn công làm thay đổi (Modification Attack)

Kiểu tấn công này thực hiện sửa đổi, thay đổi thông tin/chương trình, ví dụ nhưsử dụng các đoạn mã nguy hiểm, Virus, Trojan gắn vào email hoặc các Web site, Biện pháp bảo vệ trong trường hợp tấn công này đó là sử dụng các phần mềmchống virus, thực hiện lọc tại mail server, kiểm tra tính toàn vẹn dữ liệu.

Tấn công giả mạo (Fabrication Attack)

Tấn công giả mạo IP là kẻ tấn công tự đặt địa chỉ IP của mình trùng với một

địa chỉ nào đó ở mạng bên trong Khi đó, nó sẽ được đối xử như một máy bêntrong tức là được làm mọi thứ để từ đó tấn công, lấy trộm, phá huỷ thông tin.

1.3 Các phương pháp bảo vệ

Với các kiểu tấn công đa dạng như đã trình bày ở trên, các phương pháp bảo vệan ninh mạng cũng không ngừng được tạo ra, sửa đổi và phát triển cho phù hợpvới từng hệ thống Đó có thể là những phần mềm tích hợp trên hệ thống, nhữngcông cụ phần cứng hoặc kết hợp cả hai (phần cứng lẫn phần mềm), đó cũng có thểlà những chính sách an ninh

Các phương pháp thông thường hiện nay bao gồm: Firewall

 Intrusion Detection System

Intrusion Detection System (IDS)

IDS (hệ thống phát hiện xâm nhập trái phép) được tạo thành từ các thành phầnphần cứng và phần mềm cùng hoạt động để tìm ra các sự kiện không mong muốn,từ đó có thể chỉ ra một cuộc tấn công sẽ xảy ra, đang xảy ra hoặc đã xảy ra

Đưa ra tính riêng tư, các luật điều khiển, những việc phải làm nếu bị tấn công

CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊNMẠNG (NIDS)

2.1 Xâm nhập (Instrusion)

Trong phần này sẽ trình bày những khái niệm liên quan như xâm nhập

(intrusion), kịch bản xâm nhập (intrusion scenario), sẽ tìm hiểu về bản chất,

nguyên nhân, những dấu hiệu của việc xâm nhập vào hệ thống, trước khi đi sâunghiên cứu và triển khai một hệ thống phát hiện xâm nhập.

Một xâm nhập là một vài người (“hacker” hay “cracker”) cố gắng phá vỡ haylạm dụng hệ thống Hacker và cracker là hai từ dùng để chỉ những kẻ xâm nhập

Kẻ xâm nhập được chia thành hai loại:

 Outsiders: những kẻ xâm nhập từ bên ngoài hệ thống (xóa Web servers,

chuyển tiếp các spam qua e-mail servers) Chúng có thể vượt qua firewallđể tấn công các máy trong nội bộ mạng Những kẻ xâm nhập có thể đến từInternet, qua đường dây điện thoại, đột nhập vật lý hoặc từ các mạng thànhviên được liên kết đến tổ chức mạng (nhà sản xuất, khách hàng,…).

 Insiders: những kẻ xâm nhập mà được sử dụng hợp pháp đến bên trong hệ

thống (những người sử dụng được ủy quyền, hoặc giả mạo người dùngđược ủy quyền ở mức cao hơn… ) Loại xâm nhập này chiếm 80%.

2.1.1 Cách thức xâm nhập vào hệ thống

Các cách thức chính mà những kẻ xâm nhập có thể đi vào hệ thống:

 Physical Intrusion (xâm nhập vật lý): nếu một kẻ xâm nhập truy cập vật lý

vào một máy (chẳng hạn chúng có thể dùng bàn phím,…) chúng sẽ có thểxâm nhập vào cả hệ thống.

 System Intrusion (xâm nhập hệ thống): đây là một kiểu hacking Giả sử

rằng kẻ xâm nhập đã có một account người dùng được ủy quyền mức thấptrong hệ thống Nếu hệ thống không có các biện pháp an toàn mới nhất, thìsẽ tạo cơ hội tốt cho kẻ xâm nhập lợi dụng để có được ủy quyền cao hơn(quyền người quản trị).

 Remote Intrusion (xâm nhập từ xa): đây là kiểu hacking liên quan đến kẻ

xâm nhập cố gắng thâm nhập vào một hệ thống từ xa qua mạng Kẻ xâmnhập đầu tiên không có một ủy quyền đặc biệt nào cả Có một số dạnghacking này.

Hệ thống NIDS nghiên cứu trong phạm vi đề tài này liên quan chính đến kiểuxâm nhập từ xa (Remote Intrusion).

2.1.2 Những lỗ hổng an ninh có thể xâm nhập

Phần mềm luôn luôn có lỗi (bug) Nhà quản trị hệ thống và người lập trìnhkhông bao giờ có thể xóa vết và khử mọi lỗ hổng có thể Những kẻ xâm nhập chỉcần tìm ra một lỗ hổng và xâm nhập vào hệ thống.

Chi tiết về các lỗi hệ thống mà những kẻ xâm nhập có thể lợi dụng để thực hiệncác mục đích của chúng như sau:

Các lỗi phần mềm (Software bugs):

Các lỗi phần mềm được khai thác trong các trình tiện ích trên server, trong cácứng dụng tại client, trong hệ điều hành và các ngăn xếp mạng Các lỗi phần mềmcó thể được chia thành các loại sau :

 Buffer overflows (tràn bộ nhớ) : hầu hết các lỗ hổng an ninh được biết

đến đều do lỗi này Ví dụ điển hình, một lập trình viên thiết lập 256 kí tự đểlưu trữ một username đăng nhập Người lập trình viên nghĩ rằng không aicó thể có tên dài hơn thế, nhưng một hacker thì sẽ nghĩ rằng điều gì xảy ranếu mình gõ vào một username vượt quá số kí tự đó, những kí tự thừa ra sẽđi đâu Nếu hacker thử luôn, họ nhập vào 300 kí tự bao gồm cả code mà sẽđược thực hiện bởi server và như vậy là họ đã xâm nhập được vào hệ thống.Các hacker sẽ phát hiện những lỗi này theo một số cách Một là source codecho rất nhiều các dịch vụ trên mạng Hacker sẽ xem các code này để tìm racác đoạn chương trình có lỗi tràn bộ nhớ Hai là, hacker có thể nhìn vàochương trình để xem có lỗi đó tồn tại hay không, tuy vậy việc đọc mãassembly ở đầu ra là rất khó Ba là hacker sẽ kiểm tra mọi nơi chương trìnhcó đầu vào và cố gắng làm tràn nó với một dữ liệu ngẫu nhiên Nếu chươngtrình bị lỗi thì đây là một cơ hội tốt để hacker thâm nhập vào Lưu ý là vấnđề này phổ biến đối với những chương trình viết bằng C/C++, nhưng hiếmtrong những chương trình viết bằng JAVA.

 Unexpected combinations (các kết hợp không được mong đợi) : các

chương trình thường được xây dựng sử dụng nhiều lớp code bao gồm lớpdưới hệ điều hành như là lớp dưới cùng của các lớp Kẻ xâm nhập có thểthường xuyên gửi đầu vào vô nghĩa đối với một lớp nhưng có ý nghĩa đốivới nhiều lớp khác Ngôn ngữ thông dụng nhất để xử lý đầu vào ngườidùng là PERL Các chương trình viết bằng PERL sẽ thường xuyên gửi cácđầu vào này đến các chương trình khác để ước lượng Một kỹ thuật hackerphổ biến có thể đi vào như "| mail < /etc/passwd" Điều này được thựchiện bởi vì PERL yêu cầu hệ điều hành khởi động một chương trình thêmvào với đầu ra đó Tuy nhiên, hệ điều hành chặn kí tự đường ống “|”, vàkhởi động chương trình mail, điều này có thể dẫn đến việc file passwordđược gửi cho kẻ xâm nhập.

 Unhandled input (đầu vào không được xử lý): hầu hết các chương trình

được viết để xử lý đầu vào hợp lệ Đa số lập trình viên không xem xét đến

trường hợp là điều gì sẽ xảy ra khi đầu vào được nhập không đúng theo đặctả.

 Race condition : hầu hết các hệ thống ngày nay là đa nhiệm/đa luồng

(multitasking/ multỉTheaded) điều này có nghĩa là chúng có thể thực hiệnhơn một chương trình tại một thời điểm Sẽ là nguy hiểm nếu hai chươngtrình cùng phải truy cập đến một cơ sở dữ liệu tại cùng một thời điểm Giảsử hai chương trình A và B cùng muốn sửa đổi cùng một file Muốn sửa đổimột file, chương trình trước tiên phải đọc file vào bộ nhớ, thay đổi nội dung

trong bộ nhớ sau đó copy từ bộ nhớ ngược trở lại file Race condition xảy

ra khi chương trình A đọc file vào bộ nhớ sau đó thay đổi, và trước khi Athực hiện ghi lên file, chương trình B can thiệp vào và thực hiện đầy đủđọc/ sửa đổi/ ghi lên file Bây giờ chương trình A ghi bản copy của nóngược trở ra file Vì chương trình A bắt đầu với bản copy trước khi B tiếnhành thay đổi nó nên mọi thay đổi của B lên file sẽ bị mất Vì bạn cần phải

thực hiện một chuỗi các sự kiện theo đúng một trật tự nào đó nên racecondition là hiếm Những kẻ xâm nhập thường xuyên phải cố gắng hàng

ngàn lần trước khi thành công và hack vào hệ thống Lỗi cấu hình hệ thống (System configuration bugs):

Lỗi cấu hình hệ thống có thể chia thành các loại sau :

 Default configurations : đa số các hệ thống được gửi tới các khách hàng ở

chế độ mặc định (cấu hình dễ sử dụng_easy to use) Thật không may mắn,easy-to-use cũng đồng nghĩa với easy-to-break-in Hầu hết các máy UNIXhoặc WINNT được chuyển cho ban đều có thể bị hack dễ dàng.

 Lazy administrators: Một số lượng đáng ngạc nhiên các máy được cấu

hình với password root/administrator rỗng Đó là vì người quản trị quá lazyđể cấu hình nó và muốn bật máy, chạy máy thật nhanh với việc làm phiền ítnhất Không may là họ không bao giờ quay lại và điền password sau đó,nên kẻ xâm nhập sẽ dễ dàng truy cập vào hệ thống Một điều đầu tiên mà kẻxâm nhập sẽ làm trên một mạng là dò tìm tất cả các máy có password rỗng. Hole creation (việc tạo lỗ hổng) : hầu hết các chương trình có thể được

định cấu hình để chạy trong chế độ không an toàn Đôi khi một số nhà quảntrị vô tình mở một lỗ hổng Hầu hết các hướng dẫn về việc quản trị gợi ýrằng các nhà quản trị nên tắt mọi thứ mà hoàn toàn không cần thiết chạytrên máy để tránh các lỗ hổng bất ngờ.

 Trust relationships : kẻ xâm nhập thường lợi dụng các quan hệ tin cậy

trên mạng Một hệ thống mạng bao gồm các máy tin cậy lẫn nhau sẽ chỉ antoàn khi nó có kết nối yếu

Phá password (Password cracking):

 Really weak passwords: hầu hết mọi người dùng tên của họ, tên của bọn

trẻ, con vật, hoặc nhãn hiệu xe làm password Còn có những người khôngdùng password Điều này dẫn đến một danh sách nhỏ hơn 30 khả năng chokẻ xâm nhập có thể tự mình nhập đúng thông tin.

 Dictionary attacks (tấn công từ điển): không áp dụng được các biện pháp

tấn công ở trên, kẻ xâm nhập có thể thực hiện bước tiếp theo là cố gắng“dictionary attack” Trong kiểu tấn công này, kẻ xâm nhập sẽ dùng mộtchương trình để thử mọi từ có khả năng trong từ điển Bằng cách lặp đi lặplại việc log in vào hệ thống bằng tập hợp các password được mã hoá và cốgắng tìm ra Những kẻ tấn công sẽ có một bản copy các từ điển tiếng Anhnhư là cơ sở dữ liệu (bao gồm tên và danh sách các password thông dụng). Brute force attacks : giống như dictionary attack, kẻ xâm nhập cố gắng

thử tất cả các khả năng có thể gồm tập hợp các kí tự Một password ngắn 4kí tự gồm các chữ thường thì có thể dễ dàng bị phá chỉ trong vài phút.Password dài 7 kí tự, bao gồm cả chữ hoa chữ thường thì phải mất hàngtháng để phá.

Những kẻ xâm nhập có thể lấy password theo các cách sau đây :

 Nghe trộm văn bản rõ (clear-text sniffing): một số giao thức (Telnet, FTP,

HTTP) sử dụng password clear-text, có nghĩa là chúng không được mã hoákhi truyền trên đường dây giữa client và server Một kẻ xâm nhập với mộtbộ phân tích giao thức sẽ giám sát đường dây và tìm kiếm những passwordnhư vậy Không cần nhiều nỗ lực, kẻ xâm nhập đã có thể ngay lập tức sửdụng các password đó để log in vào hệ thống

 Nghe trộm password được mã hoá: hầu hết các giao thức sử dụng một số

loại mã hoá trên password, trong trường hợp này, kẻ xâm nhập sẽ phải sử

dụng phép tấn công từ điển (dictionary) trên password để giải mã Chú ý

rằng bạn vẫn không được biết về sự hiện diện của kẻ xâm nhập vì chúnghoàn toàn chủ động và không truyền bất cứ tín hiệu nào trên đường dây.Việc phá password không đòi hỏi tín hiệu nào được gửi trên đường dây khimáy của kẻ xâm nhập đang được dùng để xác thực password của bạn. Tấn công nghe lại (Replay attack): trong một số trường hợp, những kẻ

tấn công không cần thiết phải giải mã password, chúng có thể dùng dạngmã hóa để tấn công vào hệ thống Điều này đòi hỏi chúng phải lập trình lạicác phần mềm client để cho phép dùng password được mã hoá.

 Lấy trộm file password: toàn bộ cơ sở dữ liệu người dùng được lưu trữ ở

một file trên đĩa Một khi kẻ xâm nhập đã lấy được file này, chúng có thểchạy những chương trình crack để tìm ra những password yếu trong file. Quan sát (Observation): một trong những vấn đề truyền thống trong an

toàn password là password cần phải dài và khó phát hiện (sao cho biệnpháp tấn công sử dụng từ điển là khó có thể thực hiện) Tuy nhiên, những

password như vậy rất khó nhớ và người dùng có thể viết chúng ra đâu đó.Những kẻ xâm nhập thường xuyên tìm kiếm trang làm việc của người dùngđể tìm password hoặc đứng sau người dùng để xem họ gõ password.

 Social Engineering: một kỹ thuật phổ biến là gọi đến người dùng và nói

rằng “Xin chào, tôi là Bob tại MIS Chúng tôi đang cố gắng theo dõi mộtsố vấn đề trên mạng và chúng xuất hiện tại máy của bạn Password mà bạn

sử dụng là gì ?” Nhiều user sẽ đưa password trong tình huống này.

Nghe trộm giao thông mạng (Sniffing unsecured traffic):

 Shared medium (phương tiện chia sẻ): với mạng Ethernet truyền thống, tất

cả bạn phải làm là đặt một sniffer lên đường dây để xem xét tất cả giaothông mạng trên một đoạn Bây giờ, điều này trở nên khó khăn hơn vì tất cảcác tổ chức đang chuyển sang mạng Ethernet chuyển mạch.

 Server sniffing (nghe trộm trên server): tuy nhiên, trên một mạng chuyển

mạch, nếu bạn có thể cài đặt một chương trình sniffing trên một server (đặcbiệt nó hoạt động như một router), thì bạn có thể dùng các thông tin đó đểđột nhập vào các máy client Ví dụ, bạn không biết password của một usernhưng sniffing một phiên Telnet khi họ log in vào sẽ cho bạn password. Remote sniffing (nghe trộm từ xa): một lượng lớn các box đến cùng với

RMON và các xâu thực thể Trong khi băng thông rất thấp (bạn không thểsniff trên tất cả các giao thông mạng).

Lỗi thiết kế (Design flaws):

Thậm chí nếu việc thực hiện một phần mềm hoàn toàn đúng theo thiết kế, vẫncó các lỗi trong bản thân thiết kế cho phép kẻ xâm nhập có thể lợi dụng.

 TCP/IP Protocol flaws : giao thức TCP/IP được thiết kế trước khi chúng

ta có nhiều kinh nghiệm về hacking phạm vi rộng mà chúng ta gặp phảingày nay, kết quả là một số lỗi thiết kế sẽ dẫn đến vấn đề không an toàn

2.1.3 Những dấu hiệu xâm nhập thông thường

Có 3 cách thức chính để thực hiện hành vi xâm nhập:

 Do thám (Reconnaissance): bao gồm việc quét các địa chỉ, DNS, quét các

cổng TCP, UDP,…và các Web server để tìm ra các lỗ hổng CGI.

 Lợi dụng (Exploits): lợi dụng các đặc tính ẩn hoặc lỗi để truy cập vào hệ

 Từ chối dịch vụ (Denial of Service-DoS): kẻ xâm nhập sẽ cố gắng phá vỡ

một dịch vụ, quá tải kết nối mạng, quá tải CPU, hoặc làm đầy đĩa Chúng sẽkhông lấy các thông tin mà chỉ đơn giản đóng vai trò như một kẻ phá hoạiđể ngăn cản bạn sử dụng trên máy của bạn.

 CGI Scripts

 Web server attacks

 Web browser attacks

Chúng ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario) như là sự

mô tả một kiểu xâm nhập đã được biết đến một cách chính xác, rõ ràng Nó đượcđịnh nghĩa là một chuỗi các hành động, mà khi thực hiện thì kết quả là một xâmnhập trừ khi có sự can thiệp ngăn cản quá trình hoàn thành chuỗi hành động đó.

Mô hình hay sự miêu tả của kịch bản xâm nhập sẽ quyết định khả năng kiểmsoát hệ thống Một kịch bản điển hình có thể là :

Bước 1 : do thám bên ngoài (outside reconnaissance) Bước 2 : do thám bên trong (inside reconnaissance).Bước 3 : khai thác các lỗ hổng (exploit).

Bước 4 : theo dấu vết (foot hold).Bước 5 : lợi dụng các sơ hở (profit).

2.2 Hệ thống phát hiện xâm nhập (IDS)

2.2.1 Định nghĩa, chức năng, nguyên lý làm việc

Định nghĩa: Hệ thống phát hiện xâm nhập là hệ thống có nhiệm vụ theo dõi,

ghi lại, và (có thể) ngăn cản sự xâm nhập cũng như các hành vi khai thác trái phéptài nguyên của hệ thống được bảo vệ Có thể dẫn đến làm tổn hại đến tính mật,tính toàn vẹn và tính sẵn sàng của hệ thống.

Chức năng của hệ thống: là bảo vệ tính mật, tính toàn vẹn, và tính sẵn sàng của

thông tin Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thốngđược bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khácnhau để phát hiện những xâm nhập trái phép.

Có hai cách tiếp cận cơ bản đối với quá trình phát hiện xâm nhập, đó là phát

hiện sự không bình thường (anomaly detection) và phát hiện sự lạm dụng (misusedetection) Hai cách thức phát hiện này cũng chính là những nguyên lý làm việc

của các hệ thống IDS từ trước đến nay, do đó đi sâu tìm hiểu hai cách thức đóđồng nghĩa với việc tìm hiểu về cơ chế hoạt động của các hệ thống IDS.

Nguyên lý làm việc

 Phát hiện sự không bình thường (anomaly detetion):

Dựa trên việc định nghĩa và mô tả đặc điểm các dạng thức (form) cố định mongmuốn và/hoặc với các hành vi (behavior) động có thể chấp nhận của hệ thống Sau

đó, phân biệt chúng với các hành vi không mong muốn hoặc bất thường để tìm racác thay đổi hay các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữanhững hiện tượng thông thường và hiện tượng bất thường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạnmã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), cònranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn.

Phát hiện sự không bình thường được chia thành hai loại tĩnh và động.o Phát hiện tĩnh:

Dựa trên giả thiết ban đầu là phần hệ thống được kiểm soát phải luôn luônkhông đổi Ở đây, chúng ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (vớigiả sử là phần cứng không cần phải kiểm tra) Phần tĩnh của một hệ thống bao

gồm 2 phần con: mã hệ thống và dữ liệu của phần hệ thống đó Có thể được biểu

diễn dưới dạng một xâu bit nhị phân hoặc một tập các xâu (các file) Nếu biểu diễnnày có sự sai khác so với dạng thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ xâmnhập nào đó đã thay đổi nó Lúc này, bộ phát hiện tĩnh sẽ được thông báo để kiểmtra tính toàn vẹn dữ liệu.

Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để địnhnghĩa trạng thái mong muốn của hệ thống Chúng thu được một biểu diễn về trạngthái đó, có thể ở dạng nén Sau đó, nó so sánh biểu diễn trạng thái thu được vớibiểu diễn tương tự được tính toán dựa trên trạng thái hiện tại của cùng xâu bit cố

định Bất kỳ sự khác nhau nào đều là thể hiện lỗi như hỏng phần cứng hoặc cóxâm nhập.

Biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế được chọn để định nghĩacho trạng thái hệ thống, tuy nhiên điều đó khá tốn kém về lưu trữ cũng như về cácphép toán so sánh Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để cảnhbáo xâm nhập chứ không phải là chỉ ra sai khác ở đâu nên chúng ta có thể sử dụng

dạng biểu diễn được nén để giảm chi phí, gọi là dấu hiệu (signature) Nó là giá trị

tóm tắt tính được từ một xâu bit cơ sở Phép tính toán này phải đảm bảo sao chogiá trị tính được từ các xâu bit cơ sở khác nhau là khác nhau Có thể sử dụng cácthuật toán checksums, message-digest (phân loại thông điệp), các hàm băm.

Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tảcác đối tượng dữ liệu) hoặc thông tin về cấu trúc của đối tượng được kiểm tra Vídụ, meta-data cho một log file bao gồm kích cỡ của nó Nếu kích cỡ của log file

tăng thì có thể là một dấu hiệu xâm nhập

o Phát hiện động:

Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior) Hành vi của hệ

thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ

thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi

hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ nhữnghành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mớiđược xem xét.

Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc không và thông tin phải

được tích luỹ Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử

dụng tài nguyên hợp lý hay bất thường.

Nếu không chắc chắn hành vi là bất thường hay không, hệ thống có thể dựavào các tham số được thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi.Ranh giới trong trường hợp này là không rõ ràng do đó có thể dẫn đến những cảnhbáo sai.

Cách thức thông thường nhất để xác định ranh giới là sử dụng các phân loạithống kê và các độ lệch chuẩn Khi một phân loại được thiết lập, ranh giới có thểđược vạch ra nhờ sử dụng một số độ lệch chuẩn Nếu hành vi nằm bên ngoài thì sẽcảnh báo là có xâm nhập.

Cụ thể là: các hệ thống phát hiện động thường tạo ra một profile cơ sở để mô tả

đặc điểm các hành vi bình thường, chấp nhận được Một profile bao gồm tập cácđo lường được xem xét về hành vi, mỗi đại lượng đo lường gồm nhiều chiều:

+ Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăng nhập,…

+ Các tài nguyên được sử dụng trong cả quá trình hoặc trên một đơn vị thờigian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn vịthời gian,…

+ Chuỗi biểu diễn các hành động

Sau khi khởi tạo profile cơ sở, quá trình phát hiện xâm nhập có thể được bắtđầu Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soát

hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầucủa hành vi được mong đợi (chính là profile cơ sở), để tìm ra sự khác nhau Khi hệthống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thểhoặc các hành động là thuộc tính của thực thể Chúng xây dựng thêm một profilehiện tại.

Với các hệ thống phát hiện xâm nhập thế hệ trước thì phụ thuộc vào các bản

ghi kiểm tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan.

Đến các hệ thống sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâmnhập Một số hệ thống hoạt động với thời gian thực, hoặc gần thời gian thực, quansát trực tiếp sự kiện trong khi chúng xảy ra hơn là đợi hệ điều hành tạo ra bản ghimô tả sự kiện.

Khó khăn chính đối với các hệ thống phát hiện động là chúng phải xây dựngcác profile cơ sở một cách chính xác, và sau đó nhận dạng hành vi sai trái nhờ cácprofile.

Các profile cơ sở có thể xây dựng nhờ việc giả chạy hệ thống hoặc quan sáthành vi người dùng thông thường qua một thời gian dài.

 Phát hiện sự lạm dụng (misuse detection):

Trong các hệ thống, những người dùng dần dần thay đổi hành động của họ vìvậy các profile chứa hành vi lạm dụng gần như không thể phát hiện đối với nhữngbộ phát hiện sự không bình thường ở trên do đó kỹ thuật phát hiện sự lạm dụng rađời.

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhậpvào hệ thống sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặcđiểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức nàyđược mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soátđối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virusđặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đángnghi ngờ.

Ở đây, chúng ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario).

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động củahệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bảnđang được tiến hành Hệ thống này có thể xem xét hành động hiện tại của hệ thốngđược bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lạibởi hệ điều hành.

Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô tả(mô hình) hành vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng

thế hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an

ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó cóthể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lýtrong một kịch bản xâm nhập.

Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn

kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về

phép biến đổi trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng

hệ thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phảithường xuyên duy trì và cập nhật để đương đầu với những kịch bản xâm nhập mớiđược phát hiện.

Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thốngphát hiện sự lạm dụng có thể dựa theo đó để theo vết hành động xâm nhập Trongmột chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theocủa hành động xâm nhập Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bướctiếp theo, có thể can thiệp để làm giảm bởi tác hại có thể.

2.2.2 Vị trí

Như ta đã biết IDS (Intrusion Detection System) là một hệ thống để phát hiệncác xâm nhập Chúng có thể được đặt trên hệ thống mạng tại các vị trí như trênhình vẽ:

thời điểm đặc biệt trong khi điểm dễ bị xõm phạm tồn tại khụng phụ thuộc vàothời điểm quan sỏt Hay núi một cỏch khỏc, một cuộc tấn cụng thỡ cố gắng khaithỏc điểm dễ bị xõm phạm Chớnh vỡ lẽ đú, chỳng ta cần tiến hành phõn loại cỏc hệthống phỏt hiện xõm nhập.

Hỡnh 1 biểu diễn sự khỏc nhau giữa cỏc mỏy quột điểm dễ bị xõm phạm và cỏchệ thống dũ tỡm sự xõm phạm Quột tỡm điểm dễ bị xõm phạm khụng nguy cấpbằng việc phỏt hiện xõm nhập Tiếp đú việc triển khai mỗi cụng nghệ cú thể thayđổi bờn trong cỏc tổ chức Hỡnh 2 ỏnh xạ cỏc loại IDS lờn khung cảnh của hỡnh 1.

Cú 5 loại IDS khỏc nhau được đề cập trong tài liệu này Khụng phải tất cả cỏcloại này đều đại diện cho dũ tỡm kinh điển nhưng chỳng đúng một vai trũ quantrọng trong mục đớch tổng thể là dũ tỡm và ngăn chặn sự xõm nhập trờn một mạngtoàn thể:

 Hệ thống phỏt hiện xõm nhập dựa trờn mạng (Network Based IntrusionDetection System-NIDS).

 Hệ thống phỏt hiện xõm nhập dựa trờn host (Host Based IntrusionDetection System-HIDS).

 Kiểm tra tớnh toàn vẹn của file (File Integrity Checker).

 Quột tỡm điểm dễ bị xõm phạm của mạng (Network VulnerabilityScanner).

 Quột tỡm điểm dễ bị xõm phạm trờn host (Host Vulnerability Scanner).

IntrusionDetection(real-time)xác định chính sách

bằng cách tìm ra cáclỗ hổng trong HT, phá

canh gác trên mỗi hệthống, giám sát các

file chủ chốt, độtnhập, backdoor, theo

thời gian thựcquét các hệ thống

mạng để tìm ra nhữnglỗ hổng và nhữngđiểm dễ bị xâm phạm

trên các that bị

canh gác trên các hệthống mạng, tìm kiếm

các dạng tấn công đãbiết trong các luồngdữ liệu, theo thời gian

hỡnh 1: Technology Landscape

Hỡnh 1 trờn đõy chỉ ra rằng cỏc sản phẩm IDS cú thể được phõn loại theo dạngphũng ngừa hay dạng đối phú (phản ứng lại sau khi đó bị xõm nhập) Chỳng cũngcú thể được phõn loại theo tầm quan trọng trong việc quột tỡm trờn mạng và hệthống.

Cỏc cụng cụ IDS được đề cập trong phần này thuộc một trong hai loại sau: cỏchệ thống phỏt hiện xõm nhập và cỏc mỏy quột tỡm điểm dễ bị xõm phạm Xa hơn

nữa ta chia chúng thành các hệ thống dựa trên mạng và trên host Như được chỉ ratrên hình 2 các máy quét điểm dễ bị xâm phạm có thể chạy tại bất kỳ thời điểmnào vì chúng ta cho rằng một điểm dễ bị xâm phạm luôn tồn tại cho tới khi nóđược sửa chữa Mặt khác một sự xâm phạm khai thác một điểm dễ bị xâm phạmvà cần phải được dò tìm càng sớm càng tốt sau khi nó được bắt đầu Ví lý do nàycác công cụ dò tìm xâm nhập cần được chạy một cách thường xuyên hơn một máyquét điểm dễ bị xâm phạm Đó là lý do tại sao hầu hết các nhà cung cầp sản phẩmIDS cố gắng làm cho các công cụ của họ có khả năng hoạt động trong thời gianthực.

Hình 2: Technology Landscape

Chi tiết các hệ thống dò tìm sự xâm phạm

Một hệ thống phát hiện xâm nhập kiểm tra hoạt động của mạng hoặc của hệthống để tìm ra các cuộc tấn công hay xâm nhập có thể xảy ra Các hệ thống dò

tìm xâm nhập có thể là network-based hay host-based Các nhà cung cấp mới chỉ

bắt đầu việc tích hợp hai công nghệ này.

Hệ thống dò tìm xâm phạm dựa trên mạng khá thông dụng hơn, nó thực hiệnkiểm tra thông qua giao thông mạng để tìm ra dấu hiệu xâm nhập Các hệ thốnghost-based xem xét các user và quả trình hoạt động ngay trên máy cục bộ để xácđịnh dấu hiệu xâm nhập Mỗi một loại đều có một điểm mạnh riêng của mình.Chúng ta sẽ xem xét tất cả loại đó.

Các hệ thống IDS thường sử dụng 3 loại công cụ phân tích có giá trị, đó là: Phân tích dựa trên dấu hiệu hoặc sự kiện.

 Phân tích thống kê

 Các hệ thống có khả năng tương thích

Dựa trên dấu hiệu hoặc sự kiện, chức năng các hệ thống phải giống như mộtphần mềm phòng chống virus mà hầu hết mọi người đều rất quen thuộc Nhữngnhà cung cấp đưa ra một danh sách các mẫu mà nó cho rằng đáng nghi hay có dấuhiệu của một cuộc tấn công; IDS chỉ đơn thuần quét trong môi trường để tìm ramột dấu hiệu cho các mẫu đã được biết đến Sau đó IDS sẽ trả lời bằng cách thựchiện một thao tác xác định người dùng, gửi một cảnh báo hoặc thực hiện loggingphụ Đây là loại hình thông dụng nhất của hệ thống phát hiện xâm nhập.

Một hệ thống phân tích thống kê xây dựng các mô hình thống kê của môitrường như là độ dài trung bình của một phiên telnet sau đó tìm kiếm sự chênhlệch với các giá trị thông thường

Các hệ thống có khả năng tương thích khởi đầu với các quy tắc được tổng quáthoá cho môi trường, sau đó học hoặc làm thích nghi, các điều kiện cục bộ mà vềphương diện khác có thể không thông dụng Sau khi bắt đầu quá trình học hệthống hiểu được cách mà mọi người tương tác với môi trường sau đó cảnh báo chongười điề hành về các hoạt động bất thường.

Tuy nhiên bạn vẫn cần phải chú ý rằng IDS sẽ không có cả các hành độngnghi ngờ và các dấu hiệu cảnh báo khi không có điều gì sai xảy ra Đó là lý do vìsao các tổ chức vẫn luôn có một qui trình của con người tương tác với IDS để ướclượng môi trường điều hành.

Sau đây sẽ xem xét tổng quan, ưu điểm, nhược điểm các loại IDS đã kể ra ởtrên:

Network-based IDS (NIDS)

NIDS thường có hai thành phần logic là bộ cảm biến và trạm quản lý Bộ cảmbến đặt tại một đoạn mạng, kiểm soát các cuộc giao vận nghi ngờ trên đoạn mạngđó Trạm quản lý nhận các tín hiệu cảnh báo từ bộ cảm biến và trình bày nó chomột điều hành viên.

Bộ cảm biến thường được dành cho các hệ thống chỉ tồn tại để giảm sát hoạtđộng của mạng Một số sự hiển thị thường là một giao diện tới một công cụ quảntrị mạng ví dụ như HP Overview, tuy nhiên một số trường hợp đó lại là một hướngdẫn được thiết kế để giúp người điều hành phân tích vấn đề.

Hình 3: Sơ đồ miêu tả sự bố trí của một network based IDS truyền thống với

hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểmsoát trong một mạng internal.

Ưu điểm

Các hệ thống phát hiện xâm nhập có thể dò được một số loại tấn công sử dụngmạng Chúng rất tốt trong việc dò các truy cập trái phép hoặc một số loại truy cậpvượt quá sự cho phép.

Một hệ thống network-based IDS không yêu cầu thay đổi các server hoặc hostđưa ra Đây chính là một điểm thuận lợi vì các server đưa ra thông thường có cácdung sai hoạt động đóng đối với CPU, các thiết bị vào ra và dung lượng đĩa; càiđặt các phần mềm phụ có thể gây vượt quá dung lượng của hệ thống.

IDS không khó thực hiện đối với bất cứ một dịch vụ hay một tiến trình nàođược đưa ra vì một network-based IDS không hoạt động như một router hay cácthiết bị khó tính khác Lỗi hệ thống không có một ảnh hưởng đáng kể nào đối vớicông việc Một khía cạnh của lợi ích đó là bạn có thể gặp ít sự chống cự hơn từ cácngười khác trong tổ chức Sự rủi ro trong việc tồn tại các chu trình nguy cấp vớimột hệ thống mạng thấp hơn với một hệ thống host.

Các hệ thống network-based IDS hướng về tính độc lập nhiều hơn các hệ thốnghost-based Chúng chạy trên một hê thống chuyên dụng dễ dàng cài đặt; đơn thuầnchỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trongmạng của bạn tại một vị trí cho phép nó kiểm soát các cuộc giao vận nhạy cảm.

Nhược điểm

Một hệ thống network-based IDS mặt khác cũng có những hạn chế của nó Nóchỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiệnmột cuộc tấn công xảy ra trên các đoạn mạng khác Vấn đề này dẫn tới yêu cầu tổchức cần phải mua một lượng các ssensor để có thể bao phủ hết toàn mạng, và đâylà một nhược điểm lớn về chi phí và mỗi sensor đều rất đắt.

Các hệ thống phát hiện xâm nhập mạng hướng tới sử dụng phân tích tín hiệuđể đáp ứng các yêu cầu hiệu năng Nó sẽ dò các cuộc tấn công các chương trìnhthông dụng từ các nguồn bên ngoài, nhưng nó không đầy đủ để dò các luồn thôngtin phức tạp hơn Nó yêu cầu khả năng mạnh hơn để kiểm tra môi trường.

Một hệ thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệulớn hơn trở về hệ thống phân tích trung tâm Thỉnh thoảng điều đó có nghĩa là mộtgói được kiểm soát sẽ sinh ra một lượng lớn hơn tải phân tích Rất nhiều các hệthống như vậy sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượngcác giao vận được truyền tải Họ cũng thường thêm các chu trình tự ra các quyếtđịnh vào các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thịtrạng thái hoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế.Điểm bất lợi lànó sẽ cung cấp rất ít các điều phối viên giữa các bộ cảm ứng; bất kỳmột sensor nào cũng không biết được việc một sensor khác dò được một cuộc tấncông một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồnghoặc phức tạp.

Một hệ thống network-based IDS có thể gặp khó khăn trong việc xử lý cáccuộc tấn công trong một phiên được mã hoá Thật may mắn chỉ có rất ít các cuộctấn công xảy ra trong một phiên giao vận bị mã hoá ngoại trừ tấn công vào cácweb server yếu.

Host IDS

Hệ thống host-based IDS tìm kiếm dấu hiệu của sự xâm nhập vào một host cụcbộ Thừơng sử dụng các cơ chế kiểm tra và logging như một thông tin nguồn đểphân tích Chúng tìm kiếm các hoạt động bất thường hạn chế host cục bộ như làlogin, truy nhập file không thích hợp, bước leo thang các đặc quyền không đượcchấp nhận Kiến trúc IDS này thường sử dụng các cơ chế rule-based (dựa trên cácqui tắc) để phân tích các thao tác, một ví dụ của các qui tắc này là “đặc quyền củangười sử dụng cấp cao (surperUser) chỉ có thể đạt được thông qua lệnh su” Nhưvậy những cố gắng liên tục để login vào account root có thể đựơc coi là một cuộctấn công.

Ưu điểm

Một hệ thống host-based IDS có thể là một công cụ cực mạnh để phân tích cáccuộc tấn công có thể xảy ra Ví dụ như thỉnh thoảng nói chính xác kẻ tấn công làm