Đang tải... (xem toàn văn)
phân biệt hai kiểu phát hiện xâm nhập signature - based, anomaly - based và thực nghiệm
PHÂN BIỆT 2 KIỂU PHÁT HIỆN XÂM NHẬP: SIGNATURE-BASED, ANOMALY-BASED VÀ THỰC NGHIỆM GVHD: THS.Nguyễn Thị Thanh Vân SVTH : Trần Nguyễn Bảo Duy 10110018 Nguyễn Phước Đạt 10110025 1 Java Simplified / Session 22 / 2 of 45 NỘI DUNG Tổng quan về IDS 31 Signature - based 32 Anomaly - based 33 2 Giới thiệu Snort 34 Thực nghiệm 35 Java Simplified / Session 22 / 3 of 45 Khái niệm Thành phần của IDS Chức năng Các hệ thống không phải là IDS Phân loại Các loại tấn công Chương I: Tổng quan về IDS Chương I: Tổng quan về IDS 3 Java Simplified / Session 22 / 4 of 45 Là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài. IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. 1. Khái niệm 1. Khái niệm 4 Java Simplified / Session 22 / 5 of 45 2. Thành phần 2. Thành phần 5 Java Simplified / Session 22 / 6 of 45 3. Chức năng của IDS 3. Chức năng của IDS 6 - Bảo vệ tính toàn vẹn của dữ liệu. - Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. - Bảo vệ tính khả dụng: sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. - Bảo vệ tính riêng tư: cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, - Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa… Java Simplified / Session 22 / 7 of 45 4. Các hệ thống không phải là IDS 4. Các hệ thống không phải là IDS 7 Tường lửa – firewall Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus, trojan horse, worm, Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN, Java Simplified / Session 22 / 8 of 45 5. Phân loại dựa theo đối tượng 5. Phân loại dựa theo đối tượng 8 Network based – IDS (NIDS) Java Simplified / Session 22 / 9 of 45 Lợi thế của NIDS Lợi thế của NIDS 9 - Quản lý được cả một network segment (gồm nhiều host) - Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh được tấn công từ chối dịch vụ (DoS) ảnh hưởng tới một host nào đó. - Độc lập với OS Java Simplified / Session 22 / 10 of 45 Hạn chế của NIDS Hạn chế của NIDS 10 - Không thể phân tích các lưu lượng đã được mã hóa (vd: SSL, SSH, IPSec…) - Đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn - Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động - Không cho biết việc tấn công có thành công hay không - Giới hạn băng thông do những bộ dò mạng phải nhận tất cả các lưu lượng mạng - Có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. [...]... loại là phát hiện xâm nhập dựa trên dấu hiệu (Signature- based IDS) và phát hiện xâm nhập dựa vào sự bất thường (Anomaly- based IDS) 14 Java Simplified / Session 22 / 14 of 45 Signature – based IDS Match??? Audit Data Signature Attack 15 Java Simplified / Session 22 / 15 of 45 Anomaly – based IDS 16 Java Simplified / Session 22 / 16 of 45 8 Các loại tấn công IDS có thể phát hiện Việc bẻ khóa và sự vi... Match??? Audit Data Signature Attack 19 Java Simplified / Session 22 / 19 of 45 Signature – based IDS Mô hình hoạt động của Signature based CLASSIFICATION RULES SIGNATURE DATABASE/PARSER SIGNATURE ENGINE LOG FILE SIGNATURE CLASSIFIER DROPPED PACKETS 20 Java Simplified / Session 22 / 20 of 45 Signature – based IDS Signature- based Detection sử dụng phương pháp so sánh các dấu hiệu vào hệ thống với những... 22 / 24 of 45 ANOMALY BASED - IDS 25 Nội dung Giới thiệu Định nghĩa bất thường trong mạng Kỹ thuật phát hiện bất thường Ưu – nhược điểm Nguồn dữ liệu được dùng Các phương pháp phát hiện bất thường So sánh Signature – based và Anomaly - based 26 Java Simplified / Session 22 / 26 of 45 Giới thiệu 27 Java Simplified / Session 22 / 27 of 45 Thế nào là bất thường trong mạng ? - Là thuật ngữ... của HIDS - Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ" - HIDS phải được thiết lập trên từng host cần giám sát - HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên trên host để hoạt động - HIDS có thể không hiệu quả khi bị DoS 13 Java Simplified / Session 22 / 13 of 45 6 Phân loại dựa theo hành vi Phân loại dựa trên hành vi của IDS có thể phân làm... thời gian xảy ra hai sự kiện liên tiếp Vd: Thời gian log-in và log-out hệ thống, thời gian kích hoạt và kết thúc các ứng dụng 29 Java Simplified / Session 22 / 29 of 45 Phân loại bất thường trong mạng Bất thường trong mạng do hỏng hóc: - Máy chủ bị lỗi, thiết bị mạng gặp sự cố, bão broadcast, triển khai giao thức không đúng … Bất thường trong mạng liên quan đến các sự cố an ninh: - Phát sinh từ... dấu hiệu đã biết thông qua phân tích lưu lượng mạng và log system 21 Java Simplified / Session 22 / 21 of 45 Signature – based IDS Ưu - nhược điểm Có hiệu quả với những mối nguy hại đã biết Hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa biết và chưa có trong cơ sở dữ liệu 22 Java Simplified / Session 22 / 22 of 45 Signature – based IDS Rule based System Là phương pháp... mạng hoạt động ngoài trạng thái bình thường - Do thiết bị hỏng hóc, băng thông quá tải,… Nhưng phổ biến nhất vẫn là do hệ thống đang bị xâm nhập trái phép hoặc đang bị tấn công 28 Java Simplified / Session 22 / 28 of 45 Activity Profile - Để phân biệt trạng thái bình thường và bất thường - Mô tả hành vi của một đối tượng nào đó ở một số khía cạnh cụ thể - Các tham số này được theo dõi trong một thời... các cuộc tấn công và lỗ hỗng Phát hiện những cuộc tấn công từ bên ngoài hệ thống từ những người dùng trái phép Phát hiện những cuộc tấn công từ bên trong hệ thống khi người dùng giả danh, lạm dụng những đặc quyền của họ để tránh việc kiểm soát truy cập từ hệ thống 23 Java Simplified / Session 22 / 23 of 45 Signature – based IDS Rule based System Có 42 luật Gồm: Interface Đăng nhập (logins), ... thường là dấu hiệu của sự xâm nhập, tấn công 31 Java Simplified / Session 22 / 31 of 45 Ưu – nhược điểm Phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích cho quản trị Phát hiện các cuộc tấn công từ bên trong Thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng 32 Java Simplified / Session 22 / 32 of 45 Nguồn dữ liệu phát hiện bất thường Nguồn dữ...Host – based IDS (HIDS) 11 Java Simplified / Session 22 / 11 of 45 Lợi thế của HIDS - Có khả năng xác đinh user liên quan tới một event - HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này - Có thể phân tích các dữ liệu mã hoá - Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên . thể phân làm 2 loại là phát hiện xâm nhập dựa trên dấu hiệu (Signature- based IDS) và phát hiện xâm nhập dựa vào sự bất thường (Anomaly- based IDS) Java Simplified / Session 22 / 15 of 45 Signature. PHÂN BIỆT 2 KIỂU PHÁT HIỆN XÂM NHẬP: SIGNATURE- BASED, ANOMALY- BASED VÀ THỰC NGHIỆM GVHD: THS.Nguyễn Thị Thanh Vân SVTH : Trần Nguyễn. thống Rule -based System Signature – based IDS Signature – based IDS 18 Java Simplified / Session 22 / 19 of 45 Giới thiệu Signature – based IDS Signature – based IDS 19 Audit Data Signature Attack Match??? Java