Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 66 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
66
Dung lượng
1 MB
Nội dung
A. Mục tiêu của việc nghiên cứu về IDS/IPS
o Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu
độc lập ngày càng tốt hơn
o Nghiên cứu về hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
o Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ
thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn
của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát
triển của internet và sự hiểu biết của ngày càng sâu của con người thì
việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công
ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.
o Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ
thống.
B. Cấu trúc của đề tài
Đề tài này được chia làm 4 phần
I. Chương 1:Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm
nhập IDS/IPS
1. Giới thiệu sơ các phương pháp xâm nhập vào hệ
thống
2. Các phương pháp phát hiện và ngăn ngừa xâm nhập
3. Sự đa dạng của IDS/IPS
4. So sánh giữa IPS và IDS
II. Chương 2: Tổng quan IDS
1. Định nghĩa IDS
2. Chức năng của IDS
3. Kiến trúc của IDS
4. Phân loại IDS
5. Công cụ hỗ trợ IDS
6. Các kỹ thuật xử lý trong IDS
7. Phân loại các dấu hiệu
III. Chương 3: Tổng quan IPS
1. Định nghĩa IPS
2. Chức năng của IPS
3. Kiến trúc của IPS
4. Phân loại IPS
5. Công cụ hỗ trợ IPS
6. Chữ ký và các kỹ thuật xử lý trong IPS
IV. Chương 4:Mô phỏng
1. Mục tiêu của mô phỏng
2. Mô hình mô phỏng
3. Các công cụ cần thiết để thực hiện mô phỏng
4. Các bước mô phỏng
5. Kết quả đạt được
6. Những mặt hạn chế
I.Chương 1:Giới thiệu khái quát về hệ thống ngăn ngừa và phát hiện xâm
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô
cùng quan trọng trong mọi hoạt động của xã hội. . Vấn đề bảo đảm an ninh, an toàn
cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ
chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày
càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ
thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát
luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn
công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. Trước các
nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công
ty,doanh nghiệp,tổ chức, hay một quốc gia nào đó thì hệ thống IDS(Intrusion
Detection System ) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn công thông
qua việc kiểm soát lưu lượng giao thông của hệ thống mạng.
IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với một định
nghĩa mà người dùng đặt ra cho hệ thống , IDS không thể thực hiện việc ngăn chặn
ngay khi phát hiện xâm nhập xảy ra để thực hiện an ninh cho hệ thống mạng thì IPS
ra đời.
Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợp các ưu
điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng
phát hiện các cuộc tấn công và tự động ngǎn chặn các cuộc tấn công đó.
1. Giới thiệu sơ các phương pháp xâm nhập vào hệ thống
Các khả năng xâm nhập vào hệ thống mạng là:
•
Trinh sát(Reconnaissance attack)
•
Điều khiển truy cập(access control attack)
• Từ chối dịch vụ(Denial of service (DoS) attacks)
-Trinh sát(Reconnaissance):Để khởi động có hiệu quả một số loại tấn công, một
kẻ tấn công thường có nhu cầu hiểu biết về mô hình mạng và các phần cứng
đang dược sử dụng. Kỹ thuật thu thập loại thông tin này được gọi là trinh sát.
Trinh sát trên một đối tượng trong môi trường, không phải là một mối đe dọa,
nhưng kết quả của việc trinh sát thường được sử dụng sau này để tấn công một
hệ thống hoặc mạng. Vì vậy, sự đe dọa của các cuộc tấn công một trinh sát chủ
yếu là một trong những gián tiếp: sau khi mạng đã được quét, thông tin này sau
đó được sử dụng cho các cuộc tấn công. Thông thường các cuộc tấn công trinh
sát đi mà không bị phát hiện vì thường là chúng không có tác hại cho hệ thống
mạng.cách tốt nhất để phát hiện là xem trong tập tin đăng nhập,nhưng thường
củng không thể thấy trong tập tin đăng nhập này.Việc trinh sát này được xem là
một phương án khả thi có thể nói lá “tàn hình” để thu thập thông tin một cách
tốt nhất cho các kẻ tấn công tìm năng .
Các phương pháp dùng cho tấn công trinh sát:
Bằng dòng lệnh hoặc các tiện ích quản lý , nslookup , ping ,
telnet , finger....
Các công cụ hack như NMAP,Nessus,custom script…
Thực hiện trinh sát đòi hỏi phải biết sử dụng các dòng lệnh hoặc các tiện ích
quản lý như là sử dụng tiện ích nslookup để xem một địa chỉ ip của một
trang web.Kẻ tấn công có thể dễ dàng xác định không gian địa chỉ IP được
chỉ định cho một công ty cho hay một tổ chức. Lệnh ping cho phép kẻ tấn
công biết rằng một địa chỉ IP còn sống trên mạng.
Các công cụ tấn công được sử dụng để thực hiện trinh sát,những công cụ
này giúp kẻ tấn công ít hiểu biết có thể dễ trinh sát khi chọn tự động quá
trình thông qua giao diện than thiện mà bất cứ ai củng có thể sử dụng.
-Điều khiển truy cập(access control attack): Tấn công xảy ra khi một cá nhân
hoặc một nhóm các cá nhân nỗ lực để truy cập, sửa đổi hoặc thiệt hại một trường
và tài nguyên hệ thống. Tấn công truy cập là một cố gắng truy cập vào thông tin
mà những kẻ tấn công không có quyền :
Phương pháp truy cập vật lý: Dumpster diving
Tấn công truy cập trên mạng:
Nghe trộm(Eavesdropping).
Giả mạo (Snooping).
Can thiệp (Interception).
-Từ chối dịch vụ(Denial of service (DoS) attacks):Cuộc tấn công DoS khác với
hầu hết các cuộc tấn công khác, vì chúng không đạt được mục tiêu truy cập tìm
kiếm bất kỳ thông tin nào trong hệ thống. Thực hiện cuộc tấn công bằng cách
này là nhắm vào tính khả dụng(Availability) của hệ thống,mục đích là ngăn chặn
hoạt động bình thường của hệ thống,đặc biệt là đối với hệ thống phục vụ nhiều
người như web server,mail server…
Các phương thức tấn công DoS:
Làm cho tài nguyên quá tải(Resource Overload)
•
Sức chứa của đĩa cứng,băng thông và bộ đệm
•
Làm tràn các gói ping hay syn hoặc là liên tục đánh
bom UDP
•
Unsolicited Commercial E-mail (UCE)
Fragmentation or Impossible Packets
•
Phát tán gói ICMP làm tắc nghẽn.
•
IP fragment overlay
•
Same Source and Destination IP packet
2. Các phương pháp phát hiện và ngăn ngừa xâm nhập
Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu
và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ
những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động
hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo , không có những
báo động giả nào làm giảm năng suất người dùng cuối và không có những từ
chối sai nào tạo ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu
hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ
điều kiện nào. Điều này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt
vào đúng vị trí và có khả năng sau:
•
Mạng lưới trinh sát không thể được ngăn chặn hoàn toàn. IDS ở cấp
độ mạng và máy chủ lưu trữ có thể thông báo cho quản trị viên khi
một trinh sát tập hợp tấn công (ví dụ: ping và quét cổng). Nếu ICMP
echo request và echo-reply được tắt trên router bìa thì hạn chế được
tắc nghẽn. Một IDS ở mức độ mạng và máy chủ quản lý sẽ thông báo
cho người quản trị viên biết rằng có cuộc tấn công trinh sát đang được
tiến hành. Điều này giúp cho nhà quản tri viên có thể chuẩn bị tốt hơn
cho lần tấn công sắp tới hoặc thông báo cho ISP quản lý của người
tung ra cuộc tấn công trinh sát.
•
Các mối đe dọa của các cuộc tấn công DoS có thể được giảm thông
qua ba phương pháp sau đây:
• Tính năng Antispoof : cấu hình đúng của antispoof trên router và
tường lửa của hệ thống.
• Tính năng Anti-DoS :cấu hình đúng của Anti-DoS chống tính năng
DoS trên router và tường lửa.
• Giới hạn việc đánh giá lưu lượng mạng
•
3. Sự đa dạng của IDS
IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của
IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị
viên biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Một số
IDS so sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách
chuỗi tấn công đã biết trước hay chữ ký. Khi mà lưu lượng mạng được xem xét
cho là phù hợp với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này
gọi là Signature-based IDS. Đối với việc quan sát lưu lương của hệ thống theo
thời gian và xem xét các tình huống mà không phù hợp với bình thường sẽ gây ra
một cảnh báo ,IDS này gọi là anomaly-based IDS.
Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật.
Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho
các dấu hiệu của hoạt động xâm nhập. Khi hoạt động xâm nhập được phát hiện,
IDS cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động
xâm nhập từ các máy chủ nghi ngờ. Cách tiếp cận phản ứng này không ngăn
chặn lưu lượng cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy
nhiên một IPS có thể chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ
thống ngay lúc ban đầu.
3.1 Hệ thống phát hiện xâm nhập mềm(Snort)
Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêu cầu
để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file log ghi
lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một hệ
điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn cho
mình một hệ điều hành mà họ sử dụng một cách thành thạo nhất.Snort có thể
chạy trên các hê điều hành như window,linux.
3.2 Hệ thống phát hiện xâm nhập cứng(cisco)
Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảm biến
cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống.
Cisco cung cấp các nền tảng cảm biến sau đây:
* Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chống
dịch vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng công
nghệ tiên tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu
năng bảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm
nhập và chống tiên tiến-x dịch vụ, được xác định như chống virus và
spyware. Cisco ASA AIP SSM sản phẩm bao gồm một Cisco ASA AIP SSM-
10 mô-đun với 1-GB bộ nhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB
bộ nhớ, và một Cisco ASA AIP SSM-40 mô-đun.
* Cisco IPS 4.200 loạt các cảm biến: Cisco IPS 4.200 loạt các cảm biến đáng
kể để bảo vệ mạng của bạn bằng cách giúp phát hiện, phân loại, và ngăn chặn
các mối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng
cáo virus mạng, và lạm dụng ứng dụng. Sử dụng Cisco IPS Sensor Software
Version 5.1, Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống
xâm nhập nội tuyến với các công nghệ tiên tiến để cải thiện tính chính xác.
Kết quả là, các mối đe dọa khác có thể được ngừng lại mà không có nguy cơ
giảm lưu lượng mạng hợp pháp. Cisco IPS Sensor Software bao gồm khả
năng phát hiện tăng cường khả năng mở rộng và nâng cao, khả năng phục
hồi, và vv.
* Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2):
6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS. Nó
hoạt động kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu
quả cơ sở hạ tầng. Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc
đạt được các giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để
duy trì một mức độ cao của bảo vệ. thận trọng bảo vệ ,đảm bảo liên tục kinh
doanh và giảm thiểu các hoạt động tốn kém cho việc phát hiện xâm nhập.
* Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt các
giải pháp IPS; Cisco IPS AIM cho Cisco 1841 Integrated Services Router và
Cisco 2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và
vừa kinh doanh( small and medium-sized business (SMB) ) và các môi
trường văn phòng chi nhánh. Cisco IPS Sensor Phần mềm chạy trên Cisco
IPS AIM cung cấp nâng cao, doanh nghiệp-class IPS chức năng và đáp ứng
ngày càng tăng nhu cầu bảo mật của các văn phòng chi nhánh. Cisco IPS
AIM có quy mô trong hoạt động để phù hợp với văn phòng chi nhánh với hệ
thống mạng WAN yêu cầu băng thông ngày hôm nay và trong tương lai, bởi
vì chức năng IPS là chạy trên dành riêng cho CPU của nó, vì thế không chiếm
CPU của router. Đồng thời, sự tích hợp của IPS lên một Integrated Services
Router Cisco giữ chi phí thấp và giải pháp hiệu quả cho việc kinh doanh của
tất cả các kích cỡ.
4. So sánh giữa IPS và IDS
Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như
hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người
quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên có thể thấy rằng, nó
chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc
thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào
người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định
các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn
công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị
không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn
công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các
cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo
một quy luật do nhà Quản trị định sẵn. IDS hiện nay chỉ sử dụng từ một đến 2 cơ
chế để phát hiện tấn. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó, vì
vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít
nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ
chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh
hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến
tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà
quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn
có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm
thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao
hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có
thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống
lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết
nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đến tường lửa
( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi
khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu kẻ tấn công (Attacker) giả
mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công
từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công
từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng, của ISP, của
đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành
công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó
sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các
lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.
II. Chương 2: Tổng quan IDS
1.1 Định nghĩa IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống
phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các
hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân
biệt giữa những tấn công vào hệ thống từ bên trong (từ những người trong công
ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu
hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus
dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra
các dấu hiệu khác thường.
1.2 Phân biệt những hệ thống không phải là IDS
Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là
IDS:
• Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề
tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiêm
tra lưu lượng mạng.
• Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch
vụ mạng (các bộ quét bảo mật).
• Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm
như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất
giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện
lỗ hổng bảo mật hiệu quả.
• Tường lửa
• Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos,
Radius .
2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi
những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.
Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi
cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm
nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ
sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành
phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều
nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã
làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS:
• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng,
tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng
hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy
nhập thông tin bất hợp pháp.
• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục,
sửa chữa…
Nói tóm lại có thể tóm tắt IDS như sau:
- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những
hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng:
Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so
sánh thông lượng mạng hiện tại với baseline.
Thông tin
sự kiện
Thiết lập
sự kiện
Hệ thống
thông tin
Chính sách
thu thập
thông tin
Hệ thống đáp
trả
Hệ thống
pphân tích
Chính sách
phát hiện
Thu thập thông tin
Chính sách
phản ứng
Phản ứng
Phát hiện
Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
- Ngăn chặn sự gia tăng của những tấn công
- Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
- Đánh giá chất lượng của việc thiết kế hệ thống
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên.
Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng
như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
3.Kiến trúc hệ thống IDS
Ngày nay phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm
tra khác nhau của các hệ thống. Mỗi hệ thống có những ưu điểm cũng như khuyết
điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung
như sau:
3.1 Các nhiệm vụ thực hiện
Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống
máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công
phụ thuộc vào số lượng và kiểu hành động thích hợp ( Hình 3.1.a). Để ngăn chặn
Ngăn
xâm phạm tốt cần phải kết
hợpchặn(Prevention)
tốt giữa “bả và bẫy” được trang bị cho việc nghiên
cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài
nguyên được bảo vệ là một
vụ quan trọng khác. Toàn bộ hệ thống cần phải
Mô nhiệm
phỏng(Simulation)
được kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm
nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát
Giám sát xâm nhập
(Instruction
Monitoring)
hiện các dấu hiệu tấn công
(sự xâm phạm).
Phân tích(Analysis)
Kiểm tra xâm nhập
(Instruction detection)
Thông báo
(Notification)
Trả lời(Response)
T
Hình 3.1a Quá trình của IDS
IIDS task
Protected System
Additional IDS Infrastructure
Monitoring
Response
Hình 3.1b Mô tả chính sách bảo mật
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các
quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản
trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các
chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối
đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) ,theo các chính sách bảo mật của các tổ
chức (Hình 3.1b). Một IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những
nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các
tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy
ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các
chữ ký thông qua mail.
3.2 Kiến trúc của hệ thống phát hiện xâm nhập IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói
tin (information collection), thành phần phân tích gói tin(Dectection), thành phần
phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc.
Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở
thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân
tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như
thế nào.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số
chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống
hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu
trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi
luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu
dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói
mạng
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện
được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát
hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành
vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ
liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả.
Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm
phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau).
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất
cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc
một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo
vệ.
Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được
bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và
thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến
máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS.
DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự
phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả
năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác
nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây
là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công
mới.
Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị
cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh
nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể
cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm
tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi.
Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự
trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm
tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó.
Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy
nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó
có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ
lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. Ngoài ra còn có 1 số điểm
chú ý sau:
- Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp
cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.
- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát
, kiểm tra thông tin đầu vào đầu ra:
+ Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát
hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:
+Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về
báo cáo về vị trí trung tâm.
+Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp
điều khiển các thao tác giám sát, kiểm tra báo cáo.
4. Phân loại IDS
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ
tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm
IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
- Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp
các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công.
- Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình
thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố
này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ
bản nền tảng sau:
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành
động nào là tấn công.
- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.
4.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm
biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một
mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và
có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.
NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong
mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay
không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn
bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn
hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử
dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt
động ở mức cao.
4.1.1 Lợi thế của Network-Based IDSs:
- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
4.1.2 Hạn chế của Network-Based IDSs:
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà
NIDS báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc attack có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất
cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng.
Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo
đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò.
Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm
truyền thông và bảo mật tốt nhất.
Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của họ khi gặp
hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao
thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích
cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình
chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề
miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh
chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố
gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo.
Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến
không thể sắp xếp lại những gói thông tin một cách chính xác.
4.2 Host Based IDS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy
chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng
mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi
hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy
chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ
có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công
hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà
người tấn công đã làm trên máy chủ bị tấn công (compromised host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành
quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm
nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu
lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện
các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay
thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có
kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện
khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn
công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân
mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.
HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng
DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám
sát các thay đổi trên hệ thống, bao gồm (not all):
- Các tiến trình.
- Các mục của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả
nghi trên hệ thống file sẽ gây ra báo động.
4.2.1 Lợi thế của HIDS:
- Có khả năng xác đinh user liên quan tới một sự kiện (event).
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không
có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
4.2.2 Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành
công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS.
- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên
UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất
cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp
phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều
thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân
tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những
tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là
một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được
những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy
chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS
hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không
thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy
đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là
một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do
đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy
được trên tất cả các hệ điều hành.
5.Công cụ hỗ trợ cho IDS
Có 1 số công cụ hỗ trợ cho hệ thống xâm nhập IDS, trong phần này sẽ đề cập đến
bốn công cụ hỗ trợ đó: hệ thống phân tích tổn thương, bộ kiểm tra toàn vẹn dữ liệu,
honey pots, Padded cell. Những thành phần này có thể tăng cường, hỗ trợ, tổ chức
như thế nào với hệ thống phát hiện xâm nhập IDS sẽ được làm rõ ở những mục
dưới đây.
5.1 Hệ thống phân tích đánh giá tổn thương
Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị tổn
thương) là công cụ kiểm tra xác định liệu có phải một mạng hay host có thể bị tổn
thương tới những sự tấn công được biết. Sự đánh giá tổn thương đại diện cho một
trường hợp đặc biệt của quá trình phát hiện xâm nhập. Những thông tin bao gồm
tình trạng hệ thống và hậu qủa của những tấn công được phân tích đánh giá. Những
thông tin này được tổng hợp phân tích tại tại bộ cảm biến.
Sự phân tích đánh giá tổn thương là một kỹ thuật quản lý an toàn rất mạnh và là sự
bổ sung thích hợp tới việc sử dụng IDS, không phải như một sự thay thế. Cần phải
có một tổ chức tin cậy quản lý những công cụ phân tích đánh giá tổn thương để theo
dõi những hệ thống này.
a. Quá trình phân tích đánh giá tổn thương
Quá trình phân tích đánh giá tồn thương bao gồm những bước sau:
- Lấy 1 mẫu bao gồm tập hợp các thuộc tính của hệ thống.
- Kết quả của việc lấy mốc được cất vào một chỗ an toàn.
- Kết quả này được so sánh với ít nhất một mẫu trước đó hoặc một mẫu lý tưởng
trước đó.
- Bất kỳ sự khác nhau giữa hai tập hợp được tổng hợp và báo cáo.
b. Các kiểu phân tích đánh giá tổn thương
Có hai kiểu phân tích đánh giá tổn thương dành cho Netword-based và host-based:
- Host-based: phân tích đánh giá tổn thương chính là việc đánh giá dữ liệu của hệ
thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác.
- Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa tới hệ
thống đích. Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống hay
đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống.
5.2. Kiểm tra toàn vẹn dữ liệu
Những bộ kiểm tra toàn vẹn dữ liệu là những công cụ an toàn mà bổ sung IDSs.
Chúng tóm lược thông báo hay kiểm tra giải mã cho những dữ liệu và những đối
tượng phê bình, so sánh nó với những giá trị tham khảo và việc đặt những dấu hiệu
cho sự khác nhau hay thay đổi. Việc kiểm tra giải mã sẽ giúp biết nội dung của dữ
liệu có bị thay đổi bởi tin tặc hay không. Việc thay đổi nội dung có nhiều kỹ thuật
nhưng mục đích của tin tặc là gắn những thành phần vào nội dung để làm cầu nối
trao đổi thông tin giữa hệ thống và máy của tin tặc hoặc là với mục đích phá hoại.
Mặc dù việc kiểm tra những thành phần thay đổi trong nội dung của dữ liệu hay còn
gọi là sâu thường xuyên được sự hỗ trợ cập nhật từ những hãng chống virut,
spyware hay trojan nhưng việc cập nhật còn quá chậm so với sự phát triển của
những thành phần này.
5.3. Honey Pot và Padded Cell System
Honey pot là hệ thống những cạm bẫy được thiết kế để bẫy những tin tặc tấn công.
Honey pot được thiết kế bao gồm những mục đích sau:
- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
- Tập hợp thông tin về tin tặc và hành động của tin tặc.
- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị phản hồi
lại.
Padded Cell: khác với honey pot là hướng tin tặc theo kế hoạch của mình thì padded
cell được thiết kế để theo dõi hành động thay đổi dữ liệu của tin tặc, đánh dấu sự
thay đổi để biết mục đích của tin tặc.
6. Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm
nhập
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế
xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS.Dưới
đây là một số hệ thống được mô tả vắn tắt.
6.1 Hệ thống Expert (Expert system)
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp
vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ
Wisdom & Sense và ComputerWatch (được phát triển tại AT&T).
6.2 Phát hiện xâm nhập dựa trên luật (Rule-Based Intrusion Detection)
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu
biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm
định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi
(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện
kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong
cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ
liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản
chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được
sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Tôierald
eXpert-BSM (Solaris)).
6.3 Phân biệt ý định người dùng (User intention identification)
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều
chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp
nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp
lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
6.4 Phân tích trạng thái phiên (State-transition analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo
hay đáp trả theo các hành động đã được định trước.
6.5 Phương pháp Colored Petri Nets
Phương pháp này thường được sử dụng để tổng quát hóa các tấn công từ những
hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa. Hệ thống IDIOT của đại
học Purdue sử dụng Colored Petri Nets. Với kỹ thuật này, các quản trị viên sẽ dễ
dàng hơn trong việc bổ sung thêm dấu hiệu mới. Mặc dù vậy, việc tổng quát hóa
một dấu hiệu phức tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian.
Kỹ thuật này không được sử dụng trong các hệ thống thương mại.
6.6 Phương pháp phân tích thống kê (Statistical analysis approach)
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến
thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy
nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU…
Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị
có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định
nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với
mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương
quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có
hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng
cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường
xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương
pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin
hành vi người dùng thông thường.
6.7 Neural Networks
Phuơng pháp này sử dụng các thuật toán đang được nghiên cứu của chúng để
nghiên cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng
để rút ra mối quan hệ vào/ra mới. Phương pháp neural network được sử dụng cho
phát hiện xâm nhập, mục đích chính là để nghiên cứu hành vi của người tham gia
vào mạng (người dùng hay kẻ xâm phạm). Thực ra các phương pháp thống kê cũng
một phần được coi như neural networks. Sử dụng mạng neural trên thống kê hiện có
hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các
biến và trong việc nghiên cứu các mối quan hệ một cách tự động. Các thực nghiệm
đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng. Từ những
kết quả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự
đoán. Với một số ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự
đoán. Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng
rộng rãi trong cộng đồng phát hiện xâm nhập.
6.8 Computer immunology Analogies
Với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật được xây
dựng từ mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn là người
dùng riêng lẻ. Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo
thành bởi các quá trình. Các tấn công khai thác lỗ hổng trong mã ứng dụng rất có
khả năng gây ra đường dẫn thực thi không bình thường. Đầu tiên, một tập dữ liệu
kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ, sau
đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc
gọi hệ thống. Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc
gọi hệ thống, để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa
nếu không, một báo cảnh sẽ được tạo ra. Kỹ thuật này có tỉ lệ báo cảnh sai rất thấp.
Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụ mạng.
6.9 Machine learning (nghiên cứu cơ chế)
Đây là một kỹ thuật thông minh nhân tạo, nó lưu luồng lệnh đầu ra người dùng vào
các biểu mẫu vector và sử dụng như một tham chiếu của profile hành vi người dùng
thông thường. Các profile sau đó được nhóm vào trong một thư viện lệnh người
dùng có các thành phần chung nào đó. Việc tối thiểu hóa dữ liệu thường phải dùng
đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa biết nhưng có khả năng
hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn. Phương
pháp tối thiểu dữ liệu này vượt trội hơn đối với việc xử lý bản ghi hệ thống lớn (dữ
liệu kiểm định). Mặc dù vậy, chúng kém hữu dụng đối với việc phân tích luồng lưu
lượng mạng. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụng
trong phát hiện xâm nhập được kết hợp với các cây phán quyết. Các mô hình cây
phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ sở dữ
liệu lớn. Kỹ thuật khác phải dùng đến các đoạn, cho phép trích mẫu của các tấn
công chưa biết. Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu đã được trích
từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn công chưa
biết đã cất giữ. Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp với việc
tìm kiếm các nguyên tắc kết hợp. Nó cho phép ai đó có thể trích kiến thức chưa hiểu
trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thông thường. Sự
phát hiện bất thường thường gây ra các báo cảnh sai. Với việc tối thiểu hóa dữ liệu,
nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định
tối thiểu, do đó giảm đáng kể xác suất báo sai.
7. Phân loại các dấu hiệu
7.1. Phát hiện dấu hiệu không bình thường
Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông
thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy
hiểm kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống
người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp
thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng
(Hình 2). Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện dị
thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô tả
hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản.
7.2 Các mẫu hành vi thông thường- phát hiện bất thường
Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành
vi hệ thống. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử
dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự
không hợp lệ giữa các profile và nhận ra tấn công có thể.
Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng
ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng.
Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép
“học” trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm
này, nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường. Một
profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có
thể. Ngoài ra, còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ
thống, một nhiệm vụ khó khăn và tốn thời gian.
Cho một tập các profile hành vi thông thường, mọi thứ không hợp với profile được
lưu sẽ được coi như là một hoạt động nghi ngờ. Do đó, các hệ thống này được đặc
trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù
tấn công đó là mới có trong hệ thống), tuy nhiên chúng lại có hiện tượng là tạo các
cảnh báo sai về một số vấn đề.
Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các
tấn công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra
không cần nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS
đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả
năng phát hiện sự lạm dụng quyền của người dùng.
Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều. Hiệu
suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai
đoạn đào tạo. Do đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn
này sẽ không hợp lý. Các hành vi người dùng có thể thay đổi theo thời gian, do đó
cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông
thường.
Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có
được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực).
7.3 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu
tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện
xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao).
Các dấu hiệu hành vi xấu được chia thành hai loại:
• Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe
dọa về bảo mật. Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc thời
gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.
• Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm
kiếm các hoạt động nghi ngờ.
Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. Do đó, độ
chính xác của chúng rất cao (số báo cảnh sai thấp). Tuy nhiên chúng không thực
hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới.
Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:
• Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ
hổng trong các gói IP, TCP, UDP hoặc ICMP. Với kiểm tra đơn giản về tập các cờ
trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ, gói nào không. Khó
khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. Tương tự, một số vấn đề khác
có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ. Thường thì kẻ tấn
công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS.
• Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ
hổng chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được
thành lập. Để phát hiện có hiệu quả các tấn công như vậy, IDS phải được bổ sung
nhiều giao thức lớp ứng dụng.
Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai
thấp, thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công, dễ dàng bổ
sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu.
Một số nhược điểm:
• Khó khăn trong việc nâng cấp các kiểu tấn công mới.
• Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. Phải nâng
cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó.
• Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các
lỗ hổng bảo mật, đó là một quá trình tốn kém thời gian.
• Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDS dựa
trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc
nghiêm ngặt của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sử
dụng…)
• Chúng dường như khó quản lý các tấn công bên trong. Điển hình, sự lạm dụng
quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì
chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công).
Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho
hai lý do. Trước tiên, nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn
công đã biết và để gán tên đối với một tấn công. Thứ hai, cơ sở dữ liệu dấu hiệu tấn
công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát
hiện).
7.4 Tương quan các mẫu tham số
Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hơn hai phương pháp
trước. Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ
thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật).
Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi.
Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các
quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. Nó có
thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. Sự
khác nhau ở đây nằm ở chỗ trong thực tế, một profile là một phần hiểu biết của con
người.
Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công
không biết. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng
đối với chính hoạt động đó. Nó kế thừa những nhược điểm trong thực tế là con
người chỉ hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa là
các tấn công nào đó có thể vượt qua mà không bị phát hiện.
III. Hệ thống ngăn chặn xâm nhập IPS
1. Định nghĩa IPS
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các
ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion
detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động
ngăn chặn các cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các
cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện
các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai
mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng.
2. Chức năng của IPS
Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp lại các
đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức
và thích ứng chữ ký. Một IPS hoạt động giống như một người bảo vệ gác cổng cho
một khu dân cư, cho phép và từ chối truy nhập dựa trên cơ sở các uỷ nhiệm và tập
quy tắc nội quy nào đó.
Các giải pháp IPS“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ
liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ
những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp
pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động
giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo
ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết
để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều
này có nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để
phục vụ với:
- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm
vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định
và các danh sách điều khiển truy nhập (access control lists).
- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử
dụng các bộ lọc gói tốc độ cao.
- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức
mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) –
thông qua sự ráp lại thông minh.
- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP
bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.
- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết
và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. – qua việc sử dụng những quy
tắc giao thức ứng dụng và chữ ký.
- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu
hạn tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.
Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra
đều được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong các giao
thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu
lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định.
3. Kiến trúc chung của các hệ thống IPS
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực
hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông
lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo. Hệ
thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu, modul phát hiện tấn
công, modul phản ứng.
3.1 Module phân tích luồng dữ liệu:
Modul này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích. Thông thường
các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ
nhưng card mạng của IPS được đặt ở chế độ thu nhận tất cả. Tất cả các gói tin qua
chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin. Bộ phân tích
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch
vụ gì... Các thông tin này được chuyển đến modul phát hiện tấn công.
3.2 Modul phát hiện tấn công:
Đây là modul quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn
công. Có hai phương pháp để phát hiện các cuộc tấn công, xâm nhập là dò sự lạm
dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn
công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được
gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát
hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm
khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo
mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không
phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công
mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng
ra các hành động không bình thường của mạng. Quan niệm của phương pháp này về
các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu
trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn
công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể
nhận dạng. Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các
cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình
thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu
có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến
trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ
thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết
lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách
cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ
chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của
mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song
với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn
công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt
động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ,
các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này
rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập
thông tin của các tin tặc.
Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát
hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có
thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho
phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số
lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này
sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm
số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn.
3.3 Modul phản ứng
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi
tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó
modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn
công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ đưa ra các cảnh báo
tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng
thủ bị động. Modul phản ứng này tùy theo hệ thống mà có các chức nǎng và phương
pháp ngǎn chặn khác nhau. Dưới đây là một số kỹ thuật ngǎn chặn:
- Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin nhằm
phá huỷ tiến trình bị nghi ngờ. Tuy nhiên phương pháp này có một số nhược điểm.
Thời gian gửi gói tin can thiệp chậm hơn so với thời điểm tin tặc bắt đầu tấn công,
dẫn đến tình trạng tấn công xong rồi mới bắt đầu can thiệp. Phương pháp này không
hiệu quả với các giao thức hoạt động trên UDP như DNS, ngoài ra các gói tin can
thiệp phải có trường thứ tự đúng như các gói tin trong phiên làm việc của tiến trình
tấn công. Nếu tiến trình tấn công xảy ra nhanh thì rất khó thực hiện được phương
pháp này.
- Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn đường
một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn công. Kiểu phản
ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
- Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản trị cấu
hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời
thay đổi các chính sách điều khiển truy nhập bởi người dùng đặc biệt trong khi cảnh
báo tới người quản trị.
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các
tệp tin log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho modul phát hiện tấn công hoạt động.
4. Phân loại hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng.
4.1 IPS ngoài luồng(Promiscuous Mode IPS)
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu. Luồng dữ
liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng
dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị
trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi
ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.
4.2 IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức
tường lửa. Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu
thông (traffic-blocking). Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông
nguy hiểm nhanh hơn so với IPS ngoài luồng(Promiscuous Mode IPS). Tuy nhiên,
vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời
gian thực. Tốc độ họat động của hệ thống là một yếu tố rất quan trọng. Qua trình
phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập
tức. Nếu không đáp ứng được điều này thì các cuộc tấn công đã được thực hiện
xong và hệ thống IPS là vô nghĩa.
5. Công cụ hỗ trợ IPS(Giống phần 5 của IDS)
6. Các kỹ thuật xử lý IPS
Mục đích IPS là để phát hiện và ngăn chặn kẻ tấn công xâm nhập trái phép vào hệ
thống. Không phải môt IPS có thể phát hiện và ngăn chặn được tất cả các kiểu tấn
công mà chỉ có những kiểu tấn công được định nghĩa sẵn,và các kỹ thuật được áp
dụng trong hệ thống phát hiện xâm nhập là:
•
Anomaly detection(Phát hiện sự bất thường)
•
Misuse detection (Kiểm tra lạm phát)
•
Policy-Based detection(Kiểm tra các chính sách )
•
Protocol analysis (Phân tích giao thức)
6.1 Anomaly detection :Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân
tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất
thường
Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường
là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường.
Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật
phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo
mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô
tả sơ lược nhóm người dùng (user group profiles).
Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng
như những lưu lượng mạng trên một nhóm người dùng cho trước .
Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể
hiện những chức năng công việc chung. Một cách điển hình , những nhóm sử dụng
nên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm
đó sử dụng.
Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự
như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với
web server của mình cũng như không muốn lưu lượng SSH đến với mail server của
bạn . Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi
dạng dịch vụ có trên mạng của bạn.
Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người
dùng và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile của
chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm
người dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc
và những mạng neural.
Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và
hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định
nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.
6.1.1 Lợi ích của việc dùng Anomaly-Based IPS:
Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không
phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để
phát hiện những cuộc tấn công.
Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi
khi mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm
nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh
báo .
File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể
sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo
ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công
để đánh bại hệ IPS.
Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định
dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo.
Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong
sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account) .
Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để
thi hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh
báo miễn là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình
thường.
Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa
trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được
biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt
động bình thường.
Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự
phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn
là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để
phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát
hiện được.
6.1.2 Hạn chế của việc dùng Anomaly-Based IPS:
Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc sáng tạo
những profile nhóm người dùng , cũng như chất lượng của những profile này .
Thời gian chuẩn bị ban đầu cao.
Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.
Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự
tốt được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những
hoạt động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công
việc của người dùng hay những trách nhiệm thay đổi thường xuyên.
Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false
positive bởi vì chúng thường tìm những điều khác thường.
Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường là
sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những
phương cách nhằm tạo profile mà thật khó hiểu và giải thích.
6.2 Misuse detection
Phát hiện sự lạm dụng( Misuse detection), cũng được biết như signature-based
detection, giống như hoạt động xâm phạm mà tranh giành những signature đặc biệt.
Những signature này được dựa trên một sự thiết lập những qui luật mà giành những
mẫu tiêu biểu và khai thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự
truy cập vào mạng. Những kỉ sư mạng khéo léo cấp cao nghiên cứu cách nhận biết
tấn công và những chỗ yếu nhằm phát triển những qui luật cho mỗi signature.
Việc xây dựng những signature rành mạch làm giảm những cơ hội của false
possitive trong khi làm nhỏ cơ hội của false negative. Một misuse-detection-based
IDS cấu hình hoàn chỉnh tạo ra mức thấp nhất false negative. Nếu một misuse-based
IDS liên tục tạo ra những false positive , sự ảnh hưởng toàn diện của nó sẽ được
giảm.
Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập
tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ
năng hiểu biết thật rõ về tấn công (attacks), những mối nguy hại và phải biết phát
triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với
hệ thống mạng của mình.
Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có.
Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một
cuộc tấn công.
Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu
dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data
payloads. Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi
các bytes trong một ngữ cảnh nào đó.
Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những
hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo
nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu .
Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được
khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file
dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung
cấp những bản cập nhật cho phần mềm của họ.
Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng .
Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những
hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.
6.2.1 Lợi ích của việc dùng Signature-Based IPS:
Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã
được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao.
Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát
hiện sự bất thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu
lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động
đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng.
Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải
những mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo
vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động
xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở
dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác
nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho
những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn
những hệ thống phát hiện sự bất thường .
File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải
được tương xứng cho một tín hiệu cảnh báo. Người quản trị bảo mật có thể có thể
bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem
xem có cảnh báo nào không.
Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có
những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của
họ.
6.2.2 Những hạn chế của Signature-Based IPS:
Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều
hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự
giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và
overhead.
Đây là những hạn chế:
Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ
thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công
để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được
biết hay khám phá trước đây thường sẽ không bị phát hiện.
Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết :
Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ
thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập
có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative).
Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo
mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất
nhiều thời gian cũng như khó khăn.
Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ
cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái
thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn.
6.3 Policy-Based IPS
Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm
của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc
nhiều phương thức được ưu chuộng để ngăn chặn.
Lợi ích của việc dùng Policy-Based IPS.
• Có thể áp policy cho từng thiết bị một trong hệ thống mạng.
• Một trong những tính năng quan trọng của Policy-Based là xác thực và phản ứng
nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi
vì người quản trị hệ thống đưa các security policy tới IPS một cách chính xác .Hạn
chế của việc dùng Policy-Based IPS.
• Khi đó công việc của người quản trị cực kỳ là vất vả.
• Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.
• Khó khăn khi quản trị từ xa.
6.4 Protocol Analysis-Based IPS.
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm
nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc
phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một
chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP
cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một
Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.
• Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không
hợp pháp.
• Kiểm tra nội dung trong Payload (pattern matching).
• Thực hiện những cảnh cáo không bình thường.
7. Chữ ký và các kỹ thuật xử lý
Chữ ký là một tập các quy tắc mà một IDS và một IPS sử dụng để phát hiện điển
hình hoạt động xâm nhập, như các cuộc tấn công DoS. Có thể dễ dàng cài đặt chữ
ký bằng cách sử dụng phần mềm quản lý IDS và IPS như Cisco IDM,SDM và có
thể dễ dàng chỉnh sữa hoặc có thể tạo mới.
Giống như bộ cảm biến quét các packet, IOS IPS sử dụng chữ ký để phát hiện các
cuộc tấn công đã biết và phản ứng với hành động được xác định trước. Một luồng
gói độc hại có một loại cụ thể của hoạt động và chữ ký, và một bộ cảm biến IDS
hoặc IPS kiểm tra dữ liệu lưu lượng sử dụng chữ ký khác nhau. Khi một IDS hoặc
IPS cảm biến phù hợp với một chữ ký với lưu lượng dữ liệu, cảm biến sẽ hành
động, chẳng hạn như sự kiện đăng nhập hoặc gửi báo động để IDS hoặc phần mềm
quản lý IPS, chẳng hạn như SDM của Cisco.
Chữ kí dựa trên phát hiện xâm nhập có thể đưa ra một cảnh báo sai bởi vì một số
mạng lưới hoạt động bình thường có thể được hiểu sai như hoạt động độc hại. Ví
dụ, một số ứng dụng mạng hoặc hệ điều hành có thể gửi nhiều thông điệp Internet
Control Message Protocol (ICMP) , có một chữ ký trên cơ sở phát hiện hệ thống có
thể giải thích như một nỗ lực của kẻ tấn công để vẽ ra một phân đoạn mạng. Có thể
giảm thiểu tích cực điều chỉnh sai bởi cảm biến của hệ thống bằng cách điều chỉnh
thông số qui định được xây dựng trong chữ ký (điều chỉnh chữ ký) bằng cách điều
chỉnh các thông số chữ ký cho đúng theo như hoạt động của hệ thống.
7.1 Xem xét Chữ ký Micro-Engines.
Một chữ ký Micro-Engines là một thành phần của một IDS và IPS cảm biến có hỗ
trợ một nhóm các chữ ký dược phổ biến trong danh sách công cộng. Mỗi động
cơ(engine) là tùy chỉnh cho các giao thức và lĩnh vực mà nó được thiết kế để kiểm
tra và xác định một tập hợp các thông số quy phạm pháp luật có phạm vi cho phép
hoặc tập hợp các giá trị. Chữ ký Micro-Engines tìm kiếm các hoạt động độc hại
trong một giao thức cụ thể. Chữ ký có thể được định nghĩa cho bất kỳ chữ ký
Micro-Engines sử dụng các thông số được cung cấp bởi động cơ vi sinh hỗ trợ.
Các gói dữ liệu được quét bởi Micro-Engines có thể hiểu được giao thức chứa
trong gói.
Cisco signature micro-engines thực hiện song song các công cụ quét. Tất cả các chữ
ký trong một chữ ký cho Micro-Engines được quét song song, chứ không phải là
chuỗi. Mỗi chữ ký Micro-Engines chiết xuất từ các giá trị gói và vượt qua các phần
của gói cho công cụ và không gian . Một kỷ thuật xử lý biểu hiên thường xuyên
được quét song song, điều này làm tăng hiệu quả và kết quả truong việc thương
lương cao hơn.
Khi IDS (chế độ promiscuous) hoặc IPS (inline mode) được kích hoạt, một chữ ký
vi động cơ (signature micro-engine)được nạp (hoặc xây dựng) trên với router. Khi
một chữ ký vi công cụ được xây dựng, router có thể cần phải biên dịch biểu thức
thông thường được tìm thấy trong một chữ ký. Biên dịch biều hiện thường xuyên
đòi hỏi bộ nhớ nhiều hơn dung lượng cuối cùng của biều hiện thường xuyên. Hãy
chắc chắn để xác định các yêu cầu bộ nhớ cuối cùng của chữ ký đã hoàn thành việc
sáp nhập trước khi tải và kết hợp chữ ký.
Chú ý
Một biểu hiện thường xuyên là một cách có hệ thống để xác định một tìm kiếm một
kiểu mẫu trong một loạt các byte.
Ví dụ, một biểu hiện thường xuyên được sử dụng để ngăn chặn có chứa dữ liệu .
Exe hay com hay bat. Thông qua bức tường lửa có thể. Giống như thế này:
* ".* \. ([Ee] [Xx] [Ee] | [Cc] [Oo] [Mm] | [Bb] [Aa] [Tt])".
Chú ý
Đối với danh sách hiện đang được hỗ trợ chữ ký vi động cơ, hãy tham khảo danh
sách "của Công cụ hỗ trợ Chữ ký" trên trang chủ của cisco.
Tóm tắt các loại động cơ chữ ký có sẵn trong Cisco IOS Release
Signature Engine
Atomic
Description
Chữ ký này thì kiểm tra các gói đơn
Service
giản, chẳng hạn như ICMP và UDP
Chữ ký này là kiểm tra nhiều dịch vụ
đang bị tấn công
String
Chữ ký sử dụng biểu thức thông thường
dựa trên các mẫu để phát hiện xâm nhập.
Multi-string
Hỗ trợ các mô hình kết hợp linh hoạt và
Other
hỗ trợ xu hướng chữ ký
Kỹ thuật bên trong để xử lý chữ ký linh
tinh
Bảng :Mô tả chi tiết
Signature Engine
ATOMIC.IP
ATOMIC.ICMP
Description
Cảnh báo ip lớp 3
Cảnh báo icmp dựa trên :type, code,
sequence, and ID
ATOMIC.IPOPTIONS
ATOMIC.UDP
Cảnh báo chức năng giải mã ở lớp 3
Cung cấp các gói UDP đơn giản báo
động dựa trên các thông số: cổng,
phương diện,và chiều dài dữ liệu
ATOMIC.TCP
Cung cấp các gói tin TCP báo động đơn
giản, dựa trên các thông số: cổng, điểm
SERVICE.DNS
SERVICE.RPC
SERVICE.SMTP
SERVICE.HTTP
đến, và cờ
Phân tích dịch vụ DNS
Phân tích dịch vụ diều khiển từ xa rpc
Kiểm tra phương thúc gửi mail SMTP
Cung cấp các giao thức HTTP giải mã
cơ bản dựa trên chuỗi động cơ; bao gồm
anti-evasive URL de-obfuscation
SERVICE.FTP
FTP cung cấp dịch vụ đặc biệt giải mã
STRING.TCP
cảnh báo
UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
STRING.UDP
tra
UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
tra
STRING.ICMP
ICMP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm
MULTI-STRING
tra
Hỗ trợ các mô hình kết hợp linh hoạt và
Other
hỗ trợ mô hình chữ ký xu hướng .
Cung cấp các công cụ nội bộ để xử lý
chữ ký linh tinh.
Chú ý:
Cisco IOS IPS và Cisco IPS AIM không thể được sử dụng cùng nhau. Cisco IOS
IPS phải được vô hiệu hóa khi IPS AIM được cài đặt. Cisco IOS IPS là một ứng
dụng cung cấp khả năng kiểm tra cho lưu lượng chạy qua router. Mặc dù nó được
bao gồm trong IOS Cisco nâng cao tính năng bảo mật thiết, nó sử dụng CPU router
và bể bộ nhớ chia sẻ để thực hiện việc kiểm tra. Cisco IOS IPS cũng chạy một tập
con của chữ ký IPS. Cisco AIM IPS, thảo luận trước đó trong chương này, chạy với
một CPU và bộ nhớ chuyên dụng, giảm tải xử lý tất cả các chữ ký IPS từ CPU
router. Nó có thể tải một chữ ký đầy đủ các thiết lập và cung cấp các tính năng nâng
cao IPS không có sẵn trên Cisco IOS IPS.
7.2 Chữ ký cảnh báo(Signature Alarms)
Năng lực của IDS và IPS cảm biến để phát hiện chính xác một cuộc tấn công hoặc
vi phạm một chính sách và tạo ra một báo động là quan trọng đối với các chức năng
của các bộ cảm ứng. Cuộc tấn công có thể tạo ra các loại sau đây của các báo động:
* Sai tích cực: Một sai tích cực là một báo động được kích hoạt bởi giao thông
bình thường hoặc một hành động bình thường. Hãy xem xét kịch bản này: chữ ký
tạo ra các báo động nếu mật khẩu của bất kỳ thiết bị mạng được nhập không chính
xác. Một viên quản trị mạng cố gắng để đăng nhập vào một router Cisco nhưng
nhập mật khẩu sai. Các IDS không thể phân biệt giữa một người sử dụng quấy phá
hay là một quản trị mạng, và nó tạo ra một báo động.
* Sai phủ định: Một tiêu cực sai xảy ra khi một chữ ký không được tạo ra khi vi
phạm lưu lượng được phát hiện. Phạm vi vi phạm giao thông từ ai đó gửi tài liệu bí
mật ở bên ngoài mạng công ty để chống lại các cuộc tấn công các máy chủ web của
công ty. Sai âm là lỗi trong phần mềm IDS và IPS và cần được báo cáo. Một âm
tính giả nên được coi là một lỗi phần mềm chỉ khi IDS và IPS có một chữ ký đã
được thiết kế để phát hiện các vi phạm giao thông.
* Đúng tích cực: Một tích cực thực sự xảy ra khi một chữ ký IDS hay IPS đúng
bị vi phạm, và một báo động được tạo ra, khi vi phạm lưu lượng được phát hiện. Ví
dụ, hãy xem xét một cuộc tấn công Unicode. Cisco IPS cảm biến có chữ ký mà phát
hiện các cuộc tấn công chống lại Unicode Microsoft Internet Information Services
(IIS) các máy chủ web. Nếu một cuộc tấn công Unicode là đưa ra đối với các máy
chủ web Microsoft IIS, các cảm biến phát hiện các cuộc tấn công và tạo ra một báo
động.
* Đúng phủ định: Một tiêu cực thực sự xảy ra khi một chữ ký không đúng khi
không vi phạm lưu lượng bị bắt và phân tích. Nói cách khác, cảm biến không kích
hoạt, một báo động khi nó bắt và phân tích "mạng lưới giao thông bình thường".
bảng-cung cấp một tóm tắt các loại báo động.
Loại cảnh báo
Xâm nhập xảy ra/phát
Xâm nhập không xảy
Cảnh báo được kích hoạt
Cảnh báo không được
hiện
Đúng tích cực
Sai phủ định
ra/không phát hiện
Sai tích cực
Đúng phủ dịnh
kích hoạt
Cảnh báo xảy ra khi đươc đáp ứn đúng các nhu cầu. phải cân nhắc với lượng cảnh
báo nếu xảy ra quá nhiều cảnh báo sẽ khó mà quản lý được và băng thông sẽ bị
chiếm do quá trình bắt và phân tích gói tin và việc gây ra cảnh báo nếu cảnh báo ít
quá thì sẽ khó khăn trong việc phát hiện hệ thống có bị xâm nhập không nhưng băng
thông của hệ thống không bị chiếm.Nếu hệ thống IPS không sử dụng dúng các cảnh
báo thì sẽ gây ra cảnh báo sai tích cực. Do đó cần xem xét mức độ cần thiết để gây
ra một cảnh báo, đối với IPS signature được phân ra các cấp độ cảnh báo sau:
* Thông tin: Hoạt động kích hoạt các chữ ký không được xem là một mối đe dọa
trước mắt, nhưng những thông tin được cung cấp thông tin có ích.
* Thấp: mạng lưới hoạt động bất thường được phát hiện rằng có thể được coi như
là độc hại, nhưng một mối đe dọa trước mắt là không có khả năng.
* Trung bình: mạng lưới hoạt động bất thường được phát hiện rằng có thể được
coi như là độc hại, và là một mối đe dọa trước mắt có thể.
* Cao: tấn công được sử dụng để truy cập hoặc gây ra một cuộc tấn công DoS
được phát hiện, và là một mối đe dọa trước mắt là rất có khả năng.
Ngoài các mức được định nghĩa mặc định có thể chỉnh sữa lại cho phù hợp với hệ
thống mạng. Để giảm thiểu sai tích cực cần xem xét lưu lượng mạng tồn tại và sau
đó mở signature lên để phát hiện xâm nhập không điển hình (trong các đặt tính)
theo như các mẫu qui định. Không nên căn cứ vào chữ ký để chỉnh sữa khác mẫu
qui định ,mà sử dụng mẫu chữ ký qui định sẵn để so sánh với các lưu lượng mạng
đang có, lấy mẫu qui định sẵn làm điểm tựa để quyết định mẫu lưu lương từ đó gây
ra cảnh báo.
VI. MÔ PHỎNG
1. Mục tiêu của mô phỏng
Mô phỏng giúp thấy được tính năng và thấy rõ được hoạt động củng như các
bước cấu hình IDS/IPS trên router . Thực hiện tính năng gây ra cảnh báo nếu
có vi phạm.
2. Mô hình mô phỏng
ROUTER IPS
ROUTER TRUST
ROUTER UNTRUST
3. Công cụ cần thiết để thực hiện mô phỏng
Hệ diều hành window 7
Phần mềm giả lập GNS3
Tool SDM của cisco
Máy PC phải cài gói java để hộ trợ cho SDM
4. Các bước mô phỏng
Dựng mô hình với gns3 như mô hình
Đặt ip cho các các thiết bị như mô hình
Tại router ips cấu hình địa chỉ ip và quảng bá mạng dùng giao thức rip
như sau:
Router ips(config )#int f0/0
Router ips(config -if)#ip add 192.168.12.2 255.255.255.0
Router ips(config -if)#no shut
Router ips(config -if)#exit
Router ips(config )#int s1/0
Router ips(config -if)#ip add 192.168.23.2 255.255.255.0
Router ips(config -if)#no shut
Router ips(config -if)#clock rate 64000
Router ips(config -if)#exit
Router ips(config )#router rip
Router ips(config -router)#net 172.16.12.0
Router ips(config -router)#net 172.16.23.0
Tại router trusted và untrusted có cấu hình ip và default route như
sau:
Trusted router(config)#int f0/0
Trusted router(config-if)#ip add 192.168.12.1 255.255.255.0
Trusted router(config-if)#no shut
Trusted router(configif)#exit
Trusted router(config)#ip router 0.0.0.0 0.0.0.0 192.168.12.2
Untrusted router(config)#int s0/0
Untrusted router(config-if)#ip add 192.168.23.1 255.255.255.0
Untrusted router(config-if)#no shut
Untrusted router(config-if)#clock rate 64000
Untrusted router(configif)#exit
Untrusted router(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.2
Cho phép chạy SDM trên router ips
Router ips(config )#ip http server
Router ips(config )#ip http secure-server
Router ips(config )#ip http authentication local
Router ips(config )#username cisco privilege 15 password 0 cisco
Router ips(config )#line vty 0 4
Router ips(config-line )#privilege level 15
Router ips(config -line)#login local
Router ips(config -line)#transport input telnet
Router ips(config -line)#transport input telnet ssh
Tại pc chỉnh ip và default gerway về router ips(hình 1)
Hình 1: Chỉnh IP và default getway
Trên pc cài đặt gói java và tool SDM cho computer và chạy ciscoSDM
Tại màn hình SDM Launcher chọn ip của router ips:192.168.12.2
Hình 2: IP của router chạy SDM
Màn hình internet explorer xuất hiện sau khi bấm Launch ở bước trên,kích
phải chuột chọn allow blocked content
Hình 3: cho phép chạy pop up
Xuất hiện cảnh báo chọn yes
Hình 4: cảnh báo
Màn hình đăng nhập chứng thực xuất hiện ,đăng nhập với user & pass có
level 15
Hình 5: chứng thực username & password
Xuất hiện cửa sổ internet explorer mối chọn allow blocked content
Hình 6: cảnh báo secure của IE
Cảnh báo của trình duyệt tiếp tục xuất hiện cho yes để đi tiếp
Hình 7: cảnh báo
Sau khi nhấn yes xuất hiện trang load SDM từ router tới máy tính
Hình 8: quá trình nạp SDM
Xuất hiện màn hình đăng nhập ,tiếp tục đăng nhập với username và pass
level 15
Hình 9 : yêu cầu chứng thực username & password
Màn hình load SDM tới máy tính bắt đầu và yêu cầu đổi username và
password cho lần đầu tiên sau đó đăng nhập lại với user mới
Hình 10 : quá trình nạp cấu hình từ router tới lên sdm
Giao diện đầu tiên khi vào chế độ cấu hình cho router thông qua giao diện, chọn
configure để cấu hình cho router ips.
Hình 11: hiện thỉ các tính năng có trên router
Kích chọn tính năng instruction prevention để cấu hình cho IPS,kích chọn
“launch ips rule winzard” để bắt đầu tạo một luật ips mới
]
hình 12: Tính năng IPS trên router
Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu hình tính
năngCisco IOS IPS , theo mặc định, thông báo SDEE không được kích hoạt.
Cisco SDM sẽ nhắc nhở người dùng để cho phép thông báo sự kiện IPS qua
SDEE chọn ok
Hình 14: thông báo khi chạy ips
Nhấp vào "Next" trên dưới cùng của giao diện dẫn đến trang tiếp theo trong
Wizard IPS .Chọn giao diện trong danh sách và đánh dấu vào ô trống cho cả hai
hướng trong hay ngoài đối với các giao diện mà muốn kích hoạt tính năng IPS.
Cisco đề nghị cho phép hướng cả trong và ngoài khi kích hoạt IPS trên giao
diện. Click "Next" khi đã kết thúc việc chọn lựa.
Hình 15: hướng dẫn các bước cấu hình
Màn hình tiếp theo cho thấy vị trí SDF của Wizard IPS. Để cấu hình địa điểm
SDF, hãy nhấp vào "Add ..." nút bên phải của danh sách.
Hình 16: mô tả cách nạp signature
Cửa sổ “Add a signature location” xuất hiện chọn secify sdf using url và chọn
tftp (để thực hiện được quá trình copy File .sdf này ở pc chạy tftp ),hoặc có thể
qua bước này để chọn add file .SDF từ pc.
Hình 17: chọn vị trí signature
Kế đến màn hình tổng kết các quá trình cấu hình rule và nạp signature chọn
finish để kết thúc các bước trên.
Hình 18: kết thúc các quá trình cấu hình
Để kiểm tra cấu hình các signature được nạp trên router vào giao diện như hình
SDM UI Path: Configure-> Intrusion Prevention -> Edit IPS -> Signatures
Từ giao diện này có thể định nghĩa thêm signature sau khi kích hoạt default
SDF. Có thể định nghĩa thêm các signature bằng cách chức năng import . Để
nhập chữ ký mới, chọn default SDFs, hoặc các IOS-Sxxx.zip cập nhật tập tin để
nhập chữ ký bổ sung(Hình 19)
SDM UI Path: Configure-> Intrusion Prevention -> Edit IPS -> Signatures ->
Import
Chọn nút nhấn “import” trong thanh công cụ trên cùng của bảng danh sách chữ
ký. Kế tiếp chọn “from pc” để chỉ đường dẫn tới file chửa ký .
Tại màn hình này cũng có thể chỉnh lại hoạt động của chữ ký bằng cách kích
chọn vào chữ ký->action và chọn lựa hành động muốn ở đây chọn alarm.(hình
19)
Hình 19: hiễn thị các signature được nạp và cấu hình signature
Lưu ý: trong quá trình nạp signature thêm vào CPU sẽ hoạt động cao và trong
lúc nạp không nên làm các hành động khác sẽ làm cho quá trình nạp signature
chậm lại. sau khi chữ ký được nạp có một vài trường hợp không được enable
nếu muốn có thể enable cho phù hợp với nhu cầu cần thiết của hệ thống.
Sau khi cấu hình và chỉnh sữa hoàn tất tính năng IPS trên SDM ,truy cập vào
command line vào router kiểm tra bằng các dòng lệnh sau:
Router ips#show ip inspect all
Hình 20: Lệnh cho thấy các ngưỡng giá trị mặc định
Router ips#show running-config | in ip ips sdf
Hình 21: Lệnh xem vị trí chứ file *.sdf
Lệnh xem các chữ ký bị disable
Router ips#show running-config | include ip ips signature .* disable
Router ips#show ip ips interfaces
Hình 22:Lệnh xem ips được áp trên interface nào
Tiến hành ping kiểm tra xem từ mạng unstrusted vào trusted có gây ra cảnh báo
không
Hình 23: ping kiểm tra.
Kết quả nhận được trên router ips sẽ gây ra cảnh báo ghi rõ vi phạm chữ ký bao
nhiêu và đi với gói tin gì,từ đâu đến đâu.
5.Kết quả thu được từ quá trình mô phỏng
Hệ thống phát hiện và ngăn chặn xâm nhập rất hiệu quả trong lĩnh vực bảo mật cho
hệ thống mạng của các doanh nghiệp,tổ chức,công ty có nhu cầu bảo mật cao.
Thông qua việc mô phỏng có thể thấy được cách cài đặt và sử dụng tính năng IPS
trên router hệ thống sẽ gây ra cảnh báo hay ngắt kết nối nếu vi phạm chữ ký được
định nghĩa chữ ký trên ios router
6. Những mặt hạn chế
Do thời gian ngắn,nhân lực hạn hẹp nên không thể hoàn chỉnh một hệ thống cụ thể
và thực tế lắm. Trong phần nghiên cứu chỉ dừng lại ở trên router ,chưa làm được
trên các bộ sensor hay trên router firewall.
Tham Khảo
1. Cisco Systems, Inc. Cisco Intrusion Prevention System: Introduction,
http://www.cisco.com/go/ips
2. Cisco Systems, Inc. Cisco Security Monitoring, Analysis and Response
System: Introduction, http://www.cisco.com/go/mars
3. Cisco Systems, Inc. Cisco Security Agent: Introduction,
http://www.cisco.com/go/csa
4. Cisco Systems, Inc. Cisco Intrusion Detection System Event Viewer 3DES
Cryptographic Software Download, http://www.cisco.com/cgibin/tablebuild.pl/ids-ev
5. Cisco Systems, Inc. Cisco IOS Intrusion Prevention System (IPS): Cisco IOS
IPS Supported Signature List in 4.x Signature Format,
http://www.cisco.com/en/US/partner/products/ps6634/products_white_paper
0900aecd8039e2e4.shtml
6. Cisco Systems, Inc. Software Download: Cisco IOS IPS,
http://www.cisco.com/cgi-bin/tablebuild.pl/ios-sigup
7. Cisco Systems, Inc. Software Download: Cisco IDS Management Center Version 4.x Signature Updates, http://www.cisco.com/cgibin/tablebuild.pl/idsmc-ids4-sigup
8. Cisco Systems, Inc. Cisco IOS Security Configuration Guide, Release 12.4:
Configuring Cisco IOS Intrusion Prevention System (IPS),
http://tinyurl.com/3ufo6j
9. Cisco System, Inc. Tools & Resources: Software Download, Cisco IOS IPS
Signature Package for SDM 2.4, http://www.cisco.com/cgibin/tablebuild.pl/ios-v5sigup-sdm
10. Cisco System, Inc. Cisco Security Center,
http://tools.cisco.com/security/center/home.x
11. Cisco Systems, Inc. Cisco IOS Security Configuration Guide, Release 12.4:
Configuring Cisco IOS Intrusion Prevention System (IPS),
http://www.cisco.com/en/US/products/ps6350/products_configuration_guide
_chapter09186a00804453cf.html
12. SearchSecurity.com. http://searchsecurity.techtarget.com/
[...]... thông thường 6.7 Neural Networks Phuơng pháp này sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng để rút ra mối quan hệ vào/ra mới Phương pháp neural network được sử dụng cho phát hiện xâm nhập, mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm) Thực ra các phương pháp... những giá trị tham khảo và việc đặt những dấu hiệu cho sự khác nhau hay thay đổi Việc kiểm tra giải mã sẽ giúp biết nội dung của dữ liệu có bị thay đổi bởi tin tặc hay không Việc thay đổi nội dung có nhiều kỹ thuật nhưng mục đích của tin tặc là gắn những thành phần vào nội dung để làm cầu nối trao đổi thông tin giữa hệ thống và máy của tin tặc hoặc là với mục đích phá hoại Mặc dù việc kiểm tra những thành... thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của các tin tặc Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát... máy tính nhất đinh Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all): - Các tiến trình - Các mục của Registry - Mức độ sử dụng CPU - Kiểm tra... tích đánh giá tổn thương chính là việc đánh giá dữ liệu của hệ thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác - Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa tới hệ thống đích Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống hay đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống 5.2 Kiểm tra toàn vẹn dữ liệu Những bộ kiểm... nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) ,theo các chính sách bảo mật của các tổ chức (Hình 3.1b) Một IDS là một thành phần nằm trong chính sách bảo mật Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương... khỏi hệ thống cần bảo vệ - Tập hợp thông tin về tin tặc và hành động của tin tặc - Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị phản hồi lại Padded Cell: khác với honey pot là hướng tin tặc theo kế hoạch của mình thì padded cell được thiết kế để theo dõi hành động thay đổi dữ liệu của tin tặc, đánh dấu sự thay đổi để biết mục đích của tin tặc 6 Các kĩ thuật xử lý dữ liệu... dụng hệ thống IDS của doanh nghiệp - Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát , kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm... đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kết quả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán Với một số ít ngoại lệ, hành vi của hầu hết người dùng khác cũng có thể dự đoán Neural networks vẫn là một... hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ ... thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm... pháp thống kê thường sử dụng việc bổ sung IDS dựa thông tin hành vi người dùng thông thường 6.7 Neural Networks Phuơng pháp sử dụng thuật toán nghiên cứu chúng để nghiên cứu mối quan hệ vector đầu... giá trị tham khảo việc đặt dấu hiệu cho khác hay thay đổi Việc kiểm tra giải mã giúp biết nội dung liệu có bị thay đổi tin tặc hay không Việc thay đổi nội dung có nhiều kỹ thuật mục đích tin tặc