Tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS

Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽ đem lại những lợi ích và ứng dụng vô cùng to lớn cho con người. Mạng máy tính ra đời, mở rộng và phát triển không ngừng tạo nên hệ thống mạng Internet toàn cầu. Ngày càng có nhiều người nhận ra lợi ích của việc nối mạng (để chia sẻ tài nguyên, có thể trao đổi và tìm kiếm thông tin hiệu quả, nhanh chóng, tiết kiệm thời gian và chi phí,...), Internet đã thực sự trở thành một phần không thể thiếu trong cuộc sống của con người, thông tin liên lạc qua Internet đã trở nên quen thuộc với hầu hết mọi người. Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trung gian, nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằng thông tin khi đến tay người nhận không bị thay đổi hoặc không bị sao chép. Chúng ta đã được nghe nhiều về vấn đề thông tin bị đánh cắp gây những thiệt hại nghiêm trọng hay những kẻ thường xuyên trộm tin của người khác, thậm chí ăn trộm mật khẩu và giả mạo nhằm phá hoại việc giao dịch. Thực tế cũng đã cho thấy số các vụ tấn công vào mạng ngày càng tăng, các kỹ thuật tấn công ngày càng mới và đa dạng. Chính vì thế mà vấn đề an toàn được đặt lên hàng đầu khi nói đến việc truyền thông trên mạng. Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả các thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước khi truyền, ký trước khi truyền,...Ngoài ra, công nghệ phát hiện và ngăn chặn xâm nhập cũng đang được ứng dụng rất hiệu quả. Do đó, nhóm đã chọn đề tài “Tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS” để nghiên cứu rõ hơn về công nghệ này. Mục tiêu của đề tài: Nghiên cứu chung về hệ thống phát hiện và ngăn chặn xâm nhập, các đặc điểm, kiến trúc của một hệ thống phát hiện và ngăn chặn xâm nhập. Cài đặt, thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập trong hệ thống mạng. Do còn hạn chế nhiều về thời gian, kiến thức và kinh nghiệm thực tế nên đề tài của nhóm không tránh khỏi những thiếu sót và khuyết điểm. Nhóm thực hiện đề tài rất mong nhận được sự đánh giá, nhận xét của các Thầy, các Cô và sự góp ý của các bạn sinh viên để giúp đề tài này được hoàn thiện hơn, từ đó nhóm chúng em có thể rút kinh nghiệm trong nghiên cứu và công việc sau này. Nhóm chúng em xin chân thành cảm ơn Chương 1:Giới thiệu về IDSIPS 1.1. Khái niệm Một hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS (Intrusion Detection System Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. Thực chất thì ta có thể hiểu về IDSIPS một cách đơn giản là một hệ thống bao gồm chứa đựng cả hai công nghệ IDS và IPS. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDSIPS có thể được gọi chung là IDP Intrusion Detection and Prevention (IPSIDS). Về đặc điểm, kiến trúc, phân loại IDS, IPS sẽ được nhóm trình bày ở mục sau. 1.2. Hoạt động Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDSIPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Chương 2: Hệ thống phát hiện xâm nhập 2.1. Giới thiệu Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới. Vì nó đã được áp dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực an toàn thông tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con. Nguyên lý hoạt động rất đơn giản, hệ thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập. Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong muốn. Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Ta biết rằng, giống như trong thế giới thực tường lửa được dựng lên giống như con người xây tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có thể biết hết các phương pháp mà kẻ trộm có thể tấn công được. Vì vậy ngoài hệ thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thể triển khai các hệ thống cảnh báo như chuông báo động, camera quan sát, hệ thống cảnh báo... Tương tự như vậy trong hệ thống mạng, không ai có thể chắc chắn rằng các phần cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn công cũng như biết được hết các phương pháp của attacker. Chính vì vậy mà cần xây dựng một hệ thống phát hiện xâm nhậpIDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời (Monitor

MỤC LỤC

MỤC LỤC 1

LỜI NÓI ĐẦU 3

Chương 1:Giới thiệu về IDS/IPS 4

1.1 Khái niệm 4

1.2 Hoạt động 4

Chương 2: Hệ thống phát hiện xâm nhập 4

2.1 Giới thiệu 4

2.2 Định nghĩa 5

2.3 Các kỹ thuật xử lý dữ liệu 7

Chương 3: Hệ thống ngăn chặn xâm nhập 10

3.1 Giới thiệu 10

3.2 Định nghĩa 12

3.3 Kiến trúc chung của hệ thống IPS 12

3.3.1 Module phân tích luồng dữ liệu 12

3.3.2 Modul phát hiện tấn công 12

3.3.3 Modul phản ứng 14

Chương 4: Phân loại IDS, IPS 15

4.1 IDS 15

4.1.1 NIDS-Network Based IDS 15

4.1.2 HIDS-Host Based IDS 16

4.2 Phân loại IPS 18

4.2.1 IPS ngoài luồng 18

4.2.2 IPS trong luồng 19

Chương 5: So sánh IPS và IDS 20

TÀI LIỆU THAM KHẢO 22

DANH MỤC HÌNH VẼ

1 Mô hình hoạt động của một hệ thống IDS 7

2 Ví dụ về một NIDS phát hiện các dạng tấn công cơ bản 17

DANH MỤC CÁC TỪ VIẾT TẮT

IDS Intrusion Detection System

IPS Intrusion Prevention System

IDP Intrusion Detection and Prevention

OSSIM Open Source Security Information Management

LỜI NÓI ĐẦU

Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽđem lại những lợi ích và ứng dụng vô cùng to lớn cho con người Mạng máytính ra đời, mở rộng và phát triển không ngừng tạo nên hệ thống mạng Internettoàn cầu Ngày càng có nhiều người nhận ra lợi ích của việc nối mạng (để chia

sẻ tài nguyên, có thể trao đổi và tìm kiếm thông tin hiệu quả, nhanh chóng, tiếtkiệm thời gian và chi phí, ), Internet đã thực sự trở thành một phần không thểthiếu trong cuộc sống của con người, thông tin liên lạc qua Internet đã trở nênquen thuộc với hầu hết mọi người

Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trunggian, nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằngthông tin khi đến tay người nhận không bị thay đổi hoặc không bị sao chép.Chúng ta đã được nghe nhiều về vấn đề thông tin bị đánh cắp gây những thiệthại nghiêm trọng hay những kẻ thường xuyên trộm tin của người khác, thậmchí ăn trộm mật khẩu và giả mạo nhằm phá hoại việc giao dịch Thực tế cũng

đã cho thấy số các vụ tấn công vào mạng ngày càng tăng, các kỹ thuật tấn côngngày càng mới và đa dạng Chính vì thế mà vấn đề an toàn được đặt lên hàngđầu khi nói đến việc truyền thông trên mạng

Có rất nhiều cách để thực hiện an toàn trên mạng như: phương phápkiểm soát lối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểmsoát tất cả các thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp

mã hoá dữ liệu trước khi truyền, ký trước khi truyền, Ngoài ra, công nghệphát hiện và ngăn chặn xâm nhập cũng đang được ứng dụng rất hiệu quả Do

đó, nhóm đã chọn đề tài “Tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhậpIDS/IPS” để nghiên cứu rõ hơn về công nghệ này

Mục tiêu của đề tài:

- Nghiên cứu chung về hệ thống phát hiện và ngăn chặn xâm nhập, cácđặc điểm, kiến trúc của một hệ thống phát hiện và ngăn chặn xâm nhập

- Cài đặt, thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập trong

hệ thống mạng

Do còn hạn chế nhiều về thời gian, kiến thức và kinh nghiệm thực tế nên

đề tài của nhóm không tránh khỏi những thiếu sót và khuyết điểm Nhóm thựchiện đề tài rất mong nhận được sự đánh giá, nhận xét của các Thầy, các Cô và

sự góp ý của các bạn sinh viên để giúp đề tài này được hoàn thiện hơn, từ đónhóm chúng em có thể rút kinh nghiệm trong nghiên cứu và công việc sau này

Nhóm chúng em xin chân thành cảm ơn!

Chương 1:Giới thiệu về IDS/IPS

- Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõimạng xem có hiện tượng bất thường hay không, và phản ứng lại Lợi điểm là

có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo độngnhầm (không phải trường hợp tấn công mà vẫn gây báo động)

Chương 2: Hệ thống phát hiện xâm nhập2.1 Giới thiệu

Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới Vì nó đãđược áp dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực

an toàn thông tin của mạng máy tính Ví dụ đơn giản nhất mà có thể thấy về kỹthuật phát hiện xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con.Nguyên lý hoạt động rất đơn giản, hệ thống được bật nên và nếu có ai đó chạmvào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập Tương tựnhư các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng đểbảo vệ các tài nguyên của hệ thống mạng trước những attacker không mongmuốn Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi?

Ta biết rằng, giống như trong thế giới thực tường lửa được dựng lên giống nhưcon người xây tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhậpvào hệ thống của mình Tuy nhiên dù có bảo vệ như thế nào cũng không đảmbảo rằng chúng ta có thể biết hết các phương pháp mà kẻ trộm có thể tấn côngđược Vì vậy ngoài hệ thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thểtriển khai các hệ thống cảnh báo như chuông báo động, camera quan sát, hệthống cảnh báo Tương tự như vậy trong hệ thống mạng, không ai có thể chắcchắn rằng các phần cứng và các chế độ bảo vệ khác có thể chặn được hết cáccuộc tấn công cũng như biết được hết các phương pháp của attacker Chính vìvậy mà cần xây dựng một hệ thống phát hiện xâm nhập-IDS để phát hiện cácdấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạtđộng ra vào hệ thống để phân tích và ngăn chặn kịp thời (Monitor andLogging)

2.2 Định nghĩa

IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một

thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ

thống, nhà quản trị Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu

thông bất thường hay có hại bằng cách hành động đã được thiết lập trước nhưkhóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng ,…

IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong

(từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDSphát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách

các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt

virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo

đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

 Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ

Giám sát : lưu lượng mạng + các hoạt động khả nghi.

Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

 Chức năng mở rộng :

Phân biệt : "thù trong giặc ngoài".

Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline.

Hình 1: Mô hình hoạt động của một hệ thống IDS

Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 1.1) –một bộ tạo sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện

để định nghĩa chế độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng,ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là mộtbản ghi các sự kiện của hệ thống hoặc các gói mạng Số chính sách này cùngvới thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bênngoài Trong trường hợp nào đó, ví dụ, khi luồng dữ liệu sự kiện được truyền

tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện.Điều này cũng liên quan một chút nào đó đến các gói mạng.

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệukhông tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vìvậy có thể phát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở

dữ liệu chính sách phát hiện cho mục này Ngoài ra còn có các thành phần: dấuhiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: cácngưỡng) Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế

độ truyền thông với module đáp trả Bộ cảm biến cũng có cơ sở dữ liệu củariêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiềuhành động khác nhau)

IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trongtường lửa) hoặc phân tán Một IDS phân tán gồm nhiều IDS khác nhau trênmột mạng lớn, tất cả chúng truyền thông với nhau Nhiều hệ thống tinh vi đitheo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trênmột host trong mạng được bảo vệ

Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trongvùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tíchbước đầu và thậm chí đảm trách cả hành động đáp trả Mạng các tác nhân hợptác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phầnquan trọng của IDS DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn,đặc biệt được trang bị sự phát hiện các tấn công phân tán Các vai trò khác củatác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vịtrí vật lý Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiệndấu hiệu tấn công đã biết nào đó Đây là một hệ số quyết định khi nói đếnnghĩa bảo vệ liên quan đến các kiểu tấn công mới Các giải pháp dựa trên tácnhân IDS cũng sử dụng các cơ chế ít phức tạp hơn cho việc nâng cấp chínhsách đáp trả

2.3 Các kỹ thuật xử lý dữ liệu

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập,các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối vớimột IDS Dưới đây là một số hệ thống được mô tả vắn tắt:

- Hệ thống Expert, hệ thống này làm việc trên một tập các nguyên tắc

đã được định nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên

quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dướidạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense và ComputerWatch(được phát triển tại AT&T)

- Phân tích dấu hiệu giống như phương pháp hệ thống Expert, phương

pháp này dựa trên những hiểu biết về tấn công Chúng biến đổi sự mô tả về ngữnghĩa từ của mỗi tấn công thành định dạng kiểm định thích hợp Như vậy, dấuhiệu tấn công có thể được tìm thấy trong các bản ghi hoặc đầu vào của luồng

dữ liệu theo một cách dễ hiểu Một kịch bản tấn công có thể được mô tả, ví dụnhư một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thểtìm kiếm đã lấy được trong cuộc kiểm định Phương pháp này sử dụng các từtương đương trừu tượng của dữ liệu kiểm định Sự phát hiện được thực hiệnbằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế Điển hình, nó làmột kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại(ví dụ như Stalker, Real Secure, NetRanger, Emerald eXpert-BSM)

- Phương pháp Colored Petri Nets thường được sử dụng để tổng quát

hóa các tấn công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồhọa Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri Nets Với kỹthuật này, các quản trị viên sẽ dễ dàng hơn trong việc bổ sung thêm dấu hiệumới Mặc dù vậy, việc làm cho hợp một dấu hiệu phức tạp với dữ liệu kiểmđịnh là một vấn đề gây tốn nhiều thời gian Kỹ thuật này không được sử dụngtrong các hệ thống thương mại

- Phân tích trạng thái phiên, một tấn công được miêu tả bằng một tập

các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại

hệ thống Các phiên được trình bày trong sơ đồ trạng thái phiên

- Phương pháp phân tích thống kê, đây là phương pháp thường được

sử dụng Hành vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theomột số biến thời gian Ví dụ, các biến như là: đăng nhập người dùng, đăngxuất, số file truy nhập trong một chu kỳ thời gian, hiệu suất sử dụng không gianđĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến mộttháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sựvượt quá ngưỡng được định nghĩa từ trước Ngay cả phương pháp đơn giản nàycũng không thế hợp được với mô hình hành vi người dùng điển hình Cácphương pháp dựa vào việc làm tương quan profile người dùng riêng lẻ với cácbiến nhóm đã được gộp lại cũng ít có hiệu quả

Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được pháttriển bằng cách sử dụng profile người dùng ngắn hạn hoặc dài hạn Các profilenày thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi ngườidùng Các phương pháp thống kê thường được sử dụng trong việc bổ sungtrong IDS dựa trên profile hành vi người dùng thông thường

- Neural Networks sử dụng các thuật toán đang được nghiên cứu của

chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổngquát hóa chúng để rút ra mối quan hệ vào/ra mới Phương pháp neural networkđược sử dụng cho phát hiện xâm nhập, mục đích chính là để nghiên cứu hành

vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm) Thực ra cácphương pháp thống kê cũng một phần được coi như neural networks Sử dụngmạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễnmối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mốiquan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoánmạng neural về hành vi người dùng Từ những kết quả cho thấy rằng các hành

vi của siêu người dùng UNIX (root) là có thể dự đoán Với một số ít ngoại lệ,hành vi của hầu hết người dùng khác cũng có thể dự đoán Neural networks vẫn

là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộngđồng phát hiện xâm nhập

- Phân biệt ý định người dùng Kỹ thuật này mô hình hóa các hành vi

thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thểthực hiện được trên hệ thống (liên quan đến chức năng người dùng) Các nhiệm

vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữliệu kiểm định thích hợp Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấpnhận cho mỗi người dùng Bất cứ khi nào một sự không hợp lệ được phát hiệnthì một cảnh báo sẽ được sinh ra

- Computer immunology Analogies với sự nghiên cứu miễn dịch được

chủ định để phát triển các kỹ thuật được xây dựng từ mô hình hành vi thôngthường trong các dịch vụ mạng UNIX hơn là người dùng riêng lẻ Mô hình nàygồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành bởi các quá trình Cáctấn công khai thác lỗ hổng trong mã ứng dụng rất có khả năng gây ra đườngdẫn thực thi không bình thường Đầu tiên, một tập dữ liệu kiểm định thamchiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ, sau đó kiếnthức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc gọi hệthống Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc gọi

hệ thống, để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa;nếu không, một báo cảnh sẽ được tạo ra Kỹ thuật này có tỉ lệ báo cảnh sai rấtthấp Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch

vụ mạng

- Machine learning (nghiên cứu cơ chế) Đây là một kỹ thuật thông

minh nhân tạo, nó lưu luồng lệnh đầu ra người dùng vào các biểu mẫu vector

và sử dụng như một tham chiếu của profile hành vi người dùng thông thường.Các profile sau đó được nhóm vào trong một thư viện lệnh người dùng có cácthành phần chung nào đó

- Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử

dụng quá trình trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từnhững vị trí dữ liệu được lưu trữ với số lượng lớn phương pháp tối thiểu dữliệu này vượt trội hơn đối với việc sử lý bản ghi hệ thống lớn (dữ liệu kiểmđịnh) Mặc dù vậy, chúng kém hữu dụng đối với việc phân tích luồng lưu lượngmạng Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụngtrong phát hiện xâm nhập được kết hợp với các cây phán quyết Các mô hìnhcây phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ

sở dữ liệu lớn Kỹ thuật khác phải dùng đến các đoạn, cho phép trích mẫu củacác tấn công chưa biết Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu

đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấpcho tấn công chưa biết đã cất giữ Một kỹ thuật tối thiểu hóa dữ liệu điển hìnhđược kết hợp với việc tìm kiếm các nguyên tắc kết hợp Nó cho phép ai đó cóthể trích kiến thức chưa hiểu trước đó về các tấn công mới hoặc đã xây dựngtrên mẫu hành vi thông thường Sự phát hiện bất thường thường gây ra các báocảnh sai Với việc tối thiểu hóa dữ liệu, nó dễ dàng tương quan dữ liệu đã liênquan đến các báo cảnh với dữ liệu kiểm định tối thiểu, do đó giảm đáng kể xácsuất báo cảnh sai

Chương 3: Hệ thống ngăn chặn xâm nhập

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng (gồm có giámsát, lập hồ sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn côngmạng

+ Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây

là khuynh hướng của hệ thống phát hiện xâm nhập IDS

+ Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công

có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích cácđiều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đếnmức tối đa các cuộc tấn công mạng

Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway đểphát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểuthời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động củamạng Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm