Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 20 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
20
Dung lượng
223,5 KB
Nội dung
Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây đã xuất hiện
trong từ điển chuyên ngành an ninh bảo mật. Chắc chắn nó có một ý nghĩa lớn lao hơn là
một lời tiếp thị lôi cuốn. Ngăn ngừa xâm nhập chính là thế giới bảo mật CNTT.
Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) mới đây đã xuất hiện
trong từ điển chuyên ngành an ninh bảo mật. Chắc chắn nó có một ý nghĩa lớn lao hơn là
một lời tiếp thị lôi cuốn. Tuy vậy, đây không phải là một mô tả công nghệ bảo mật mới
mang tính cách mạng mặc dù một số nhà tiếp thị chuyên nghiệp cho rằng IPS là một
bước đại nhảy vọt. “Ngăn ngừa Xâm nhập” trong bài viết này được hiểu hàm chứa những
khía cạnh của nhiều công nghệ bảo mật hiện hữu bao gồm chống virus, phát hiện xâm
nhập, tường lửa và lọc truy nhập Internet, v.v. Ngăn ngừa xâm nhập chính là thế giới bảo
mật CNTT.
Ý tưởng của công nghệ này là mọi cuộc tấn công chống lại bất cứ thành phần nào của
môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngăn ngừa xâm nhập.
Với “quyền tối thượng”, các Hệ thống Ngăn ngừa Xâm nhập có thể “nắm” lấy bất cứ lưu
lượng nào của các gói tin mạng và đưa ra quyết định có chủ ý – liệu đây có phải là một
cuộc tấn công hay một sự sử dụng hợp pháp – sau đó thực hiện hành động thích hợp để
hoàn thành tác vụ một cách trọn vẹn. Kết quả cuối cùng là một nhu cầu có hạn định cho
các giải pháp phát hiện hay giám sát thâm nhập một khi tất cả những gì liên quan đến mối
đe doạ đều bị ngăn chặn.
Bài viết phân tích những hạn chế của các hệ thống hiện tại cũng như nhu cầu cấp bách có
một giải pháp hoàn thiện và đúng đắn trong tương lai. Tiếp đến, những đặc tính của hai
giải pháp phát hiện xâm nhập và tường lửa vốn hình thành nên các giải pháp “Ngăn ngừa
Xâm nhập” được đưa ra bàn thảo. Chúng ta ghi nhận những tính năng hữu ích và nêu bật
những yêu cầu về mặt kiến trúc cho bất kỳ thiết bị an ninh nào có ý định nội tuyến
(inline) trên mạng. Cuối cùng, bài viết đề xuất cách tiếp cận của Top Layer để ngăn ngừa
xâm nhập – một phương pháp thiết thực chuyển hóa các khả năng tường lửa thành một
giải pháp kiểm tra nội dung sâu hơn.
Nhu cầu hiển nhiên đằng sau các quảng cáo về “Ngăn ngừa xâm nhập”
Lời bàn tán xung quanh thuật ngữ “Ngăn ngừa Xâm nhập” đang được truyền đi bởi
những nỗ lực tiếp thị của một số công ty, một số thông tin gây sửng sốt được đưa ra mà
chủ đề được lấy từ các nhà phân tích như Gartner và báo giới. Các sản phẩm “Web
firewall” mới đang bắt đầu được định giá và những cuộc thảo luận đang nóng dần. Một tỷ
lệ phần trăm lớn của lưu lượng hiện thời đang được truyền qua Port 80, (Web port) và
phần lớn các sản phẩm tường lửa thiếu khả năng áp dụng ép buộc chính sách lớp ứng
dụng lên một lưu lượng lớn. Và bây giờ, Port 80 đã trở thành biểu tượng của sự thiếu hụt
nghiêm trọng trong các tường lửa kiểm tra trạng thái đơn giản do thành công của những
cuộc tấn công mới đây và tốc độ triển khai ngày càng tăng của các dự án B2B, các dịch
vụ Web “tạo đường hầm” và các đối tượng SOAP thông qua Port 80.
Các giám đốc thông tin (CIO) và giám đốc an ninh thông tin (CISO) của các công ty hiện
đang phân tích xem liệu họ có cần thiết bổ sung thêm các biện pháp đối phó một lớp các
đe doạ hoàn toàn mới chuyên biệt ứng dụng sắp xẩy ra hay không. Trong thực tế họ đã
triển khai các tường lửa, các phần mềm diệt virus và các hệ thống phát hiện xâm nhập
trên mạng của họ, nhưng vẫn còn cảm thấy không an toàn. Khi đối mặt với những đe doạ
đang hiện hữu, những rủi ro phải được đánh giá cẩn thận hơn và các kế hoạch giảm thiểu
cần phải được đưa ra cho những hệ thống hiện tại. Yêu cầu cho sự truy nhập mở hơn,
những mối quan tâm của khách hàng và những điều chỉnh đang được tăng thêm. Do vậy,
những nhà chuyên về bảo mật đang mong chờ bổ sung thêm các giải pháp an ninh để có
thể hỗ trợ các nhu cầu theo đơn vị doanh nghiệp:
- Những giám đốc doanh nghiệp đang theo đuổi các ứng dụng mở hơn trong nỗ lực đạt
được năng suất cao hơn.
- Các điểm truy nhập mạng đặc biệt thông qua IPsec và các mạng riêng ảo (VPN) “clientless” được “móc” vào trong các vành đai mạng để mở rộng những dịch vụ ngày càng
phân tán.
- Người tiêu dùng đang phải chịu đựng những đòn từ chối dịch vụ gây ra bởi các hacker
dẫn đến các giao dịch trên Internet thất bại và thiếu tin cậy. Các số thẻ tín dụng và dữ liệu
riêng khác đang bị lấy cắp.
Do yêu cầu cấp bách bảo vệ các hệ thống, các công ty và các cơ quan chính phủ đang tích
cực tập trung vào vấn đề gây tranh cãi. Các nhà cung cấp an ninh đang kiểm tra các sản
phẩm của họ. Các công ty xây dựng các hệ thống cân bằng tải có tính sẵn sàng cao “Web
farm” thậm chí đang được kích thích bởi một số áp lực thị trường để nhận ra những gì họ
có thể phải cung cấp để xử lý những mối đe doạ mới cho tới các ứng dụng mạng lưới.
Các công ty mới cũng nổi lên với các sản phẩm dự định là sẽ cung cấp các giải pháp khắc
phục nhanh chóng và phi thường. Những dự định nhìn chung là tốt và đang đạt được
những tiến triển nhất định nhưng một giải pháp quan trọng vẫn chưa hiện hữu.
An ninh CNTT nhất thiết phải cung cấp các giải pháp chống lại những mối đe doạ
đã biết và chưa biết
Trong khi nhiều mối đe dọa mới đang tiềm tàng ẩn chứa, các chuyên gia bảo mật phải đối
mặt với những thách thức trên nhiều mặt trận:
1. Cung cấp sự bảo vệ chống lại những mối đe doạ chuyên biệt ứng dụng đã biết có khả
năng vượt qua các thiết bị tường lửa không có khả năng phát hiện xâm nhập chuyên biệt
ứng dụng. Hiện nay, các cổng vào ra chống vi rút được hỗ trợ các CSDL chữ ký virút và
các dịch vụ cập nhật đã cung cấp một số giải pháp bảo vệ nhưng cần có nhiều giải pháp
hơn nữa.
2. Cung cấp nhiều khả năng bảo vệ với bộ lọc cho tất cả các giao thức, không phải chỉ có
HTTP (“Ngăn ngừa Xâm nhập” đa giao thức). Một vài kiểu đe doạ hiện đang được xử lý
bởi những tường lửa uỷ quyền ứng dụng lai ghép.
3. Cung cấp các kỹ thuật lọc, ngăn chặn và xác nhận tính hợp lệ chuyên biệt ứng dụng
với những điều khiển nội dung cho mục đích loại trừ tối đa các cuộc tấn công đã biết và
chưa biết. Mục đích là làm giảm nguy cơ của các mối đe doạ chưa biết trở thành “Code
Red” tiếp theo. Những tường lửa lai ghép, có khả năng các cơ chế an ninh lớp 3 tới lớp 7
sẽ cung cấp nền tảng thích hợp nhất cho sự phát triển này.
4. Quy mô cho các yêu cầu băng thông lớn. Sự tiến triển ở đây sẽ bao gồm các cải thiện
về hiệu suất thực hiện trong phần cứng đã được đóng gói, các card mạng (NIC) có thể lập
trình, các cổng (gateway) dựa vào các ASIC (mạch tích hợp chuyên biệt ứng dụng) và
các công cụ quản lý tốt hơn cho các giải pháp cổng theo nhóm dung lượng cao.
Những đặc điểm của các cuộc tấn công mức ứng dụng mới đang điều khiển sự đổi mới
công nghệ bảo mật
Các hệ thống an ninh đang được mở rộng do những sáng kiến thương mại điện tử vượt
quá xa khả năng tự nhiên của chúng. Sự mở rộng này đã để ngỏ các hệ thống và các ứng
dụng cho tin tặc khám phá và sau đó khai thác những kẽ hở bị phát hiện bên trong các
quá trình truyền thông khách/chủ của ứng dụng. Tin tặc đã chứng minh rằng có thể tìm ra
nhiều điểm yếu để khai thác trong cả hai phiên bản mới và cũ của các ứng dụng được tạo
ra do các công cụ lập trình tự động hoá và các phương pháp đánh giá phần mềm không
được cân nhắc cẩn thận, chẳng hạn, những dữ liệu đầu vào của người dùng trong các ứng
dụng Web là những điểm nhạy cảm (dễ bị tấn công). Việc xây dựng khả năng tự bảo vệ
mình trước các cuộc tấn công trong thời gian sử dụng vào trong các ứng dụng thường
không phải là mục tiêu của các nhà thiết kế ứng dụng. Và vì các cuộc tấn công xuất hiện
trong thời gian sử dụng các ứng dụng, các cuộc tấn công đặc thù theo ứng dụng không
cần thiết phải vi phạm các chuẩn RFC hay ngay cả bản thân các giao thức. Kết quả là, các
cuộc tấn công thường vô hình (không nhìn thấy được) đối với bức tường (bộ lọc) an ninh
trong nhiều hệ thống và do đó nó có khả năng “ẩn” trong dòng lưu lượng thông thường.
Sự tiến triển mới này trong các cuộc tấn công là rất khôn ngoan, chuyên biệt cho từng
ứng dụng và rất khó nhận biết.
Mặc dù việc bảo vệ triệt để là không thể thực hiện được, nhưng không còn nghi ngờ gì
nữa, các giải pháp “Ngăn ngừa Xâm nhập” là những đòi hỏi tất yếu cho bất kỳ kiến trúc
an ninh nào. Về cơ bản, các giải pháp “Ngăn ngừa Xâm nhập” là sự thay thế thế hệ tường
lửa và bởi vậy trước tiên chúng phải hoạt động như một tường lửa nếu muốn thành công.
Một Hệ thống Ngăn ngừa xâm nhập (IPS) là gì ?
Các Hệ thống Ngăn ngừa Xâm nhập
Hai kiểu IPS được biết trên thị trường hiện nay là “dựa vào máy chủ” và “nội tuyến” (dựa
vào mạng). Các hệ thống “dựa vào máy chủ” là các phần mềm ngăn ngừa xâm nhập được
viết để “móc” trực tiếp vào trong các ứng dụng hay cài đặt trực tiếp trên các máy chủ ứng
dụng. Bài viết này chỉ tập trung vào bảo mật “nội tuyến”. Bảo mật “nội tuyến” tương tự
như trong kiến trúc tường lửa di trú kép hay một cổng chống vi rút được đặt ngược chiều
từ các ứng dụng được bảo vệ và áp dụng các dịch vụ ngăn ngừa xâm nhập cho nhiều ứng
dụng xuôi chiều của các IPS. Theo đúng nghĩa của khái niệm này, ta có thể định nghĩa
như sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) là bất kỳ một thiết bị
phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các cuộc tấn công đã
quen biết”. Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” chỉ đề cập đến việc phát
hiện và sau đó ngăn chặn những cuộc tấn công chuyên biệt ứng dụng đã biết. Thuật ngữ
“Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) bản thân được sử dụng
để hợp nhất cả hai khái niệm “Hệ thống Phát hiện” (detection system) và “Hệ thống Ngăn
ngừa” (prevention system) dưới một cấu trúc. Chú ý rằng định nghĩa này chỉ nhằm vào
các cuộc tấn công đã quen biết.
Phát hiện và ngăn ngừa
Nhìn bề ngoài, các giải pháp phát hiện xâm nhập và ngăn ngừa xâm nhập xuất hiện theo
kiểu cạnh tranh nhau. Rốt cuộc, chúng chia sẻ một danh sách các chức năng giống nhau
như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP-segment,
kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Một IPS hoạt
động giống như một người bảo vệ gác cổng cho một khu dân cư, cho phép và từ chối truy
nhập dựa trên cơ sở các uỷ nhiệm và tập quy tắc nội quy nào đó. Một IDS (hệ thống phát
hiện xâm nhập) làm việc giống như một xe tuần tra bên trong khu dân cư, giám sát các
hoạt động và tìm ra những tình huống bất bình thường. Dù mức độ an ninh tại cổng vào
khu dân cư mạnh đến mức nào, xe tuần tra vẫn tiếp tục hoạt động trong một hệ thống
giám sát và sự cân bằng của chính nó.
Phát hiện xâm nhập
Mục đích của “phát hiện xâm nhập” là cung cấp sự giám sát, kiểm tra, tính pháp lý và báo
cáo về các hoạt động của mạng. Nó hoạt động trên các gói tin được cho phép thông qua
một thiết bị kiểm soát truy nhập. Do những hạn chế về độ tin cậy và những đe doạ bên
trong, “Ngăn ngừa Xâm nhập” phải cho phép một số “vùng xám” (gray area) tấn công để
tránh các trường hợp báo động giả. Mặt khác, những giải pháp IDS được “nhồi” trí thông
minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập, những
khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng. Một IDS có thể thực hiện
các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng.
Bản chất bị động của IDS nằm ở chỗ cung cấp sức mạnh để chỉ đạo phân tích thông minh
các lưu lượng gói tin. Những vị trí IDS này có thể nhận ra :
- Các cuộc tấn công quen biết theo đường chữ ký (signature) và các quy tắc.
- Những biến thiên trong lưu lượng và phương hướng sử dụng những quy tắc và phân tích
thống kê phức tạp.
- Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng.
- Phát hiện hoạt động bất bình thường có sử dụng phân tích độ lệch đường cơ sở (baseline
deviation analysis).
- Phát hiện hoạt động đáng nghi nhờ phân tích luồng, các kỹ thuật thống kê và phát hiện
sự bất bình thường.
Ngăn ngừa xâm nhập
Như được đề cập trước đây, các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ
tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng
việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt
động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo – không có những báo
động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo
ra rủi ro quá mức bên trong môi trường. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để
tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có
nghĩa các giải pháp “Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với:
- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào
các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các
danh sách điều khiển truy nhập (access control lists).
- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử dụng
các bộ lọc gói tốc độ cao.
- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng
giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự
ráp lại thông minh.
- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP bởi việc
sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.
- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và
chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. – qua việc sử dụng những quy tắc giao
thức ứng dụng và chữ ký.
- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn
tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.
Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra đều
được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong các giao thức truyền
thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào,
làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định.
Tình trạng của công nghệ IPS
Trạng thái của công nghệ IPS là chưa chín muồi nếu bạn xem xét ở góc độ sản phẩm của
từng nhà cung cấp đơn lẻ với tất cả các tính năng phát hiện, giám sát, ngăn ngừa, cập nhật
và báo cáo trên mỗi sự truyền tải cho truy nhập vào trong và ra ngoài qua một điểm
nghẽn (choke-point) mạng đặc biệt. Gần đây, các doanh nghiệp đã tiêu tốn hàng triệu đô
la vào các sản phẩm để giúp đỡ họ bảo vệ an toàn mạng của họ. Các sản phẩm IPS mới
nổi của ngày nay được tập trung chủ yếu dành riêng cho Port 80 và như vậy chúng hiện
không thay thế các hệ thống hiện tại. Thay vào đó chúng làm tăng thêm giá trị của những
hệ thống này. Một giải pháp IPS đa giao thức bao hàm tất cả sẽ phải được phát triển và
chứng tỏ trước khi những hệ thống như vậy được coi như những thay thế thực tế cho các
hệ thống đã triển khai.
Các mục tiêu dài hạn
Trong tương lai, một giải pháp cổng an ninh nội tuyến (inline) phải đạt được các mục tiêu
này :
- Khả năng phát hiện và ngăn chặn tấn công dựa trên cơ sở sử dụng lôgic và vật lý của
nhiều công nghệ ép buộc. Rộng hơn, điều này còn bao gồm cả khả năng ngăn ngừa cả hai
dạng tấn công đã biết và chưa biết có sử dụng các biện pháp phòng thủ ứng dụng
(Application Defenses).
- Khả năng cùng nhau hoạt động với cơ sở hạ tầng an ninh được triển khai cho những
mục đích hỗ trợ tập hợp dữ liệu, bằng chứng điện tử, giám sát theo dõi và phục tùng điều
chỉnh khi cần.
- Khả năng không phá vỡ những hoạt động kinh doanh do thiếu tính sẵn sàng, hiệu năng
kém, những khẳng định sai hay không có khả năng hoạt động cùng nhau với các cơ sở hạ
tầng chứng thực quy định.
- Khả năng hỗ trợ các chuyên gia an ninh CNTT trong việc chuyển giao kế hoạch quản lý
rủi ro của tổ chức của họ bao gồm chi phí cho thực hiện, hoạt động và những kết quả làm
việc từ các cảnh báo và báo cáo từ hệ thống.
Những thách thức để đạt được mục đích
- Hiện thời không có các nghiên cứu của đối tác thứ ba có thể chấp nhận được tính hiệu
quả của IPS như là một giải pháp. Sự quảng cáo thổi phồng xung quanh “Ngăn ngừa
Xâm nhập” đang làm lẫn lộn giữa những gì công nghệ này có thể cung cấp và những gì
nó hứa hẹn.
- Cách tiếp cận nhiều lớp cho an ninh CNTT tiếp tục có giá trị trong khi công nghiệp phát
triển. Nó không có vẻ là sự di trú ra xa khỏi phòng thủ chiều sâu phân lớp đúng như nó
được tổ chức.
- Nhiều giải pháp IPS sẽ đòi hỏi những yêu cầu giống IDS để điều chỉnh, giám sát và báo
cáo.
Một cách nhìn thực dụng trong tương lai
Hiện tại không có sản phẩm nào thích hợp cho tất cả có thể làm việc phù hợp với nhu cầu
thị trường rộng lớn tại mức mà nó có thể thay thế tường lửa hiện tại, NIDS (Network
Intrusion Detection System), các bộ chuyển mạch lớp 7 và các thành phần khác có thể
hay không thể trở thành các cổng an ninh nội tuyến của ngày mai. Tuy vậy, nếu một sản
phẩm như vậy xuất hiện, nó sẽ phải phù hợp với những mục tiêu được thảo luận trước
đây trong tài liệu này, bao gồm cả khả năng “phòng thủ ứng dụng” (Application
Defenses). Tiếp theo là gì? Một cuộc cách mạng không phải là cái gì đó có thể đoán trước
được và nói chung gồm nhiều bước trong tương lai. Những mối đe doạ trong tương lai
mà ngày hôm nay chúng ta chưa biết sẽ điều khiển phương hướng của những giải pháp
của chúng ta trong tương lai. Có thể có những mối đe doạ mới và tính dễ bị tổn thương
mới được phát hiện tác động đến các khái niệm an ninh “Ngăn ngừa Xâm nhập” của ngày
hôm nay theo những cách cơ bản. Nhưng sự phát triển các “Hệ thống Ngăn ngừa Xâm
nhập” phần nhiều giống như sự hoà trộn từng bước một qua thời gian của các khái niệm
an ninh khác nhau vào trong một mô hình phòng thủ ứng dụng đích thực.
Phần 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS.
Trong phần này mình sẽ trình bày với các bạn về một số vấn đề:
1. Định nghĩa IDS
2. Chức năng của IDS
3. Kiến trúc của IDS
4. Phân loạiIDS
5. Công cụ hỗ trợ IDS
6. Các kỹ thuật xử lý trong IDS
7. Sự khác nhau cơ bản về IDS và IPS
Phần 2: CẤU HÌNH VÀ THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP
VỚI SNORT IDS SOFTWARE.
1. Giới thiệu về Snort IDS Software
2. Cài đặt và Cấu hình(Trên cả hai môi trường:Linux và Windows)
3. Mô hình ứng dụng Snort.
Phân loại IDS
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn
công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có
thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
- Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các
sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công.
- Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường
và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện
sự khác biệt, nghĩa là đã có sự xâm nhập.
Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những
hành động dị thường. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng
sau:
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động
nào là tấn công.
- Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.
Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng.
Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những
mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và
phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu
hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm
tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor được đặt ở
toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa
để phát hiện đó là tấn công hay không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ
lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần
mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên
có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao
Lợi thế của Network-Based IDSs:
- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
Hạn chế của Network-Based IDSs:
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS
báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát
ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc attack có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các
lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ
mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng
được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển,
thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống
IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích
cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu
đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những
mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện
tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá
trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều
gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động
xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
Host Based IDS (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan
sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập
được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ
sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu
dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ
mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống
dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị
tấn công (compromised host).
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền
truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể
tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng
(network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công
mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều
khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn
có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công
dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí
lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của
một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường
được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là
mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ
thống, bao gồm (not all):
- Các tiến trình.
- Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác.
Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên
hệ thống file sẽ gây ra báo động.
Lợi thế của HIDS:
- Có khả năng xác đinh user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có
khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Hạn chế của HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS.
- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX
và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả
các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên
bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và
là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu
lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò
thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ
thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò
cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ
xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi
điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả
năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề
bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi
chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ
điều hành.
5.Công cụ hỗ trợ cho IDS
Có 1 số công cụ hỗ trợ cho hệ thống xâm nhập IDS, trong phần này chúng ta sẽ đề cập
đến bốn công cụ hỗ trợ đó: hệ thống phân tích tổn thương, bộ kiểm tra toàn vẹn dữ liệu,
honey pots, Padded cell. Những thành phần này có thể tăng cường, hỗ trợ, tổ chức như
thế nào với hệ thống phát hiện xâm nhập IDS sẽ được làm rõ ở những mục dưới đây.
5.1 Hệ thống phân tích đánh giá tổn thương
Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị tổn thương)
là công cụ kiểm tra xác định liệu có phải một mạng hay host có thể bị tổn thương tới
những sự tấn công được biết. Sự đánh giá tổn thương đại diện cho một trường hợp đặc
biệt của quá trình phát hiện xâm nhập. Những thông tin bao gồm tình trạng hệ thống và
hậu qủa của những tấn công được phân tích đánh giá. Những thông tin này được tổng hợp
phân tích tại tại bộ cảm biến.
Sự phân tích đánh giá tổn thương là một kỹ thuật quản lý an toàn rất mạnh và là sự bổ
sung thích hợp tới việc sử dụng IDS, không phải như một sự thay thế. Cần phải có một tổ
chức tin cậy quản lý những công cụ phân tích đánh giá tổn thương để theo dõi những hệ
thống này.
a. Quá trình phân tích đánh giá tổn thương
Quá trình phân tích đánh giá tồn thương bao gồm những bước sau:
- Lấy 1 mẫu bao gồm tập hợp các thuộc tính của hệ thống.
- Kết quả của việc lấy mốc được cất vào một chỗ an toàn.
- Kết quả này được so sánh với ít nhất một mẫu trước đó hoặc một mẫu lý tưởng trước
đó.
- Bất kỳ sự khác nhau giữa hai tập hợp được tổng hợp và báo cáo.
b. Các kiểu phân tích đánh giá tổn thương
Có hai kiểu phân tích đánh giá tổn thương dành cho Netword-based và host-based:
- Host-based: phân tích đánh giá tổn thương chính là việc đánh giá dữ liệu của hệ thống
như dữ liệu, việc cấu hình, trạng thái của những thông tin khác.
- Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa tới hệ thống
đích. Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống hay đơn giản là
thăm dò xem xét để biết những điểm yếu của hệ thống.
5.2. Kiểm tra toàn vẹn dữ liệu
Những bộ kiểm tra toàn vẹn dữ liệu là những công cụ an toàn mà bổ sung IDSs. Chúng
tóm lược thông báo hay kiểm tra giải mã cho những dữ liệu và những đối tượng phê bình,
so sánh nó với những giá trị tham khảo và việc đặt những dấu hiệu cho sự khác nhau hay
thay đổi. Việc kiểm tra giải mã sẽ giúp biết nội dung của dữ liệu có bị thay đổi bởi tin tặc
hay không. Việc thay đổi nội dung có nhiều kỹ thuật nhưng mục đích của tin tặc là gắn
những thành phần vào nội dung để làm cầu nối trao đổi thông tin giữa hệ thống và máy
của tin tặc hoặc là với mục đích phá hoại.
Mặc dù việc kiểm tra những thành phần thay đổi trong nội dung của dữ liệu hay còn gọi
là sâu thường xuyên được sự hỗ trợ cập nhật từ những hãng chống virut, spyware hay
trojan nhưng việc cập nhật còn quá chậm so với sự phát triển của những thành phần này.
5.3. Honey Pot và Padded Cell System
Honey pot là hệ thống những cạm bẫy được thiết kế để bẫy những tin tặc tấn công.
Honey pot được thiết kế bao gồm những mục đích sau:
- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.
- Tập hợp thông tin về tin tặc và hành động của tin tặc.
- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị phản hồi lại.
Padded Cell: khác với honey pot là hướng tin tặc theo kế hoạch của mình thì padded cell
được thiết kế để theo dõi hành động thay đổi dữ liệu của tin tặc, đánh dấu sự thay đổi để
biết mục đích của tin tặc.
6. Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý
khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS.Dưới đây là một số
hệ thống được mô tả vắn tắt.
. Hệ thống Expert (Expert system) 6.1
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu
tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc
kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và
ComputerWatch (được phát triển tại AT&T).
6.2. Phát hiện xâm nhập dựa trên luật (Rule-Based Intrusion Detection)
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về
tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích
hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record). Một
kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các
tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương
pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện
được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình,
nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví
dụ như: Cisco Secure IDS, Tôierald eXpert-BSM (Solaris)).
6.3. Phân biệt ý định người dùng (User intention identification)
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm
vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người
dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp
với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận
cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh
báo sẽ được sinh ra.
6.4. Phân tích trạng thái phiên (State-transition analysis)
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi
một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái
phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo
các hành động đã được định trước.
6.5. Phương pháp Colored Petri Nets
Phương pháp này thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết
cơ bản và để thể hiện các tấn công theo đồ họa. Hệ thống IDIOT của đại học Purdue sử
dụng Colored Petri Nets. Với kỹ thuật này, các quản trị viên sẽ dễ dàng hơn trong việc bổ
sung thêm dấu hiệu mới. Mặc dù vậy, việc tổng quát hóa một dấu hiệu phức tạp với dữ
liệu kiểm định là một vấn đề gây tốn nhiều thời gian. Kỹ thuật này không được sử dụng
trong các hệ thống thương mại.
6.6. Phương pháp phân tích thống kê (Statistical analysis approach)
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời
gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong
một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU… Chu kỳ nâng cấp
có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến
được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả
phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng
điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng
lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử
dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được
nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê
thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng
thông thường.
6.7. Neural Networks
Phuơng pháp này sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu
về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng để rút ra mối
quan hệ vào/ra mới. Phương pháp neural network được sử dụng cho phát hiện xâm nhập,
mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay
kẻ xâm phạm). Thực ra các phương pháp thống kê cũng một phần được coi như neural
networks. Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để
biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối
quan hệ một cách tự động. Các thực nghiệm đã được tiến hành với sự dự đoán mạng
neural về hành vi người dùng. Từ những kết quả cho thấy rằng các hành vi của siêu người
dùng UNIX (root) là có thể dự đoán. Với một số ít ngoại lệ, hành vi của hầu hết người
dùng khác cũng có thể dự đoán. Neural networks vẫn là một kỹ thuật tính toán mạnh và
không được sử dụng rộng rãi trong cộng đồng phát hiện xâm nhập.
6.8. Computer immunology Analogies
Với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật được xây dựng từ
mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn là người dùng riêng lẻ.
Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành bởi các quá trình.
Các tấn công khai thác lỗ hổng trong mã ứng dụng rất có khả năng gây ra đường dẫn thực
thi không bình thường. Đầu tiên, một tập dữ liệu kiểm định tham chiếu được sưu tập để
trình bày hành vi hợp lệ của các dịch vụ, sau đó kiến thức cơ bản được bổ sung thêm với
tất cả các chuỗi được biết rõ về cuộc gọi hệ thống. Các mẫu đó sau đó được sử dụng cho
việc kiểm tra liên tục các cuộc gọi hệ thống, để xem chuỗi được tạo ra đã được liệt kê
trong cơ sở kiến thức chưa nếu không, một báo cảnh sẽ được tạo ra. Kỹ thuật này có tỉ lệ
báo cảnh sai rất thấp. Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình
dịch vụ mạng.
6.9. Machine learning (nghiên cứu cơ chế)
Đây là một kỹ thuật thông minh nhân tạo, nó lưu luồng lệnh đầu ra người dùng vào các
biểu mẫu vector và sử dụng như một tham chiếu của profile hành vi người dùng thông
thường. Các profile sau đó được nhóm vào trong một thư viện lệnh người dùng có các
thành phần chung nào đó. Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ
thuật sử dụng quá trình trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ
những vị trí dữ liệu được lưu trữ với số lượng lớn. Phương pháp tối thiểu dữ liệu này
vượt trội hơn đối với việc xử lý bản ghi hệ thống lớn (dữ liệu kiểm định). Mặc dù vậy,
chúng kém hữu dụng đối với việc phân tích luồng lưu lượng mạng. Một trong những kỹ
thuật tối thiểu hóa dữ liệu cơ bản được sử dụng trong phát hiện xâm nhập được kết hợp
với các cây phán quyết. Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các
sự bất thường trong một cơ sở dữ liệu lớn. Kỹ thuật khác phải dùng đến các đoạn, cho
phép trích mẫu của các tấn công chưa biết. Điều đó được thực hiện bằng việc hợp lệ hóa
các mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp
cho tấn công chưa biết đã cất giữ. Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết
hợp với việc tìm kiếm các nguyên tắc kết hợp. Nó cho phép ai đó có thể trích kiến thức
chưa hiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thông thường.
Sự phát hiện bất thường thường gây ra các báo cảnh sai. Với việc tối thiểu hóa dữ liệu, nó
dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối thiểu,
do đó giảm đáng kể xác suất báo sai.
7. Phân loại các dấu hiệu
7.1. Phát hiện dấu hiệu không bình thường
Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông
thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm
kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống người
dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn
giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). Để phân loại
các hành động, IDS phải lợi dụng phương pháp phát hiện dị thường, đôi khi là hành vi cơ
bản hoặc các dấu hiệu tấn công,… một thiết bị mô tả hành vi bất thường đã biết (phát
hiện dấu hiệu) cũng được gọi là kiến thức cơ bản.
7.2. Các mẫu hành vi thông thường- phát hiện bất thường
Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ
thống. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông
thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ
giữa các profile và nhận ra tấn công có thể.
Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng ban
đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. Có một
vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học” trên
chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này, nơi mà các
hành vi xâm phạm trước trở thành hành vi thông thường. Một profile không tương thích
sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. Ngoài ra, còn có một sự
cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống, một nhiệm vụ khó khăn và tốn
thời gian.
Cho một tập các profile hành vi thông thường, mọi thứ không hợp với profile được lưu sẽ
được coi như là một hoạt động nghi ngờ. Do đó, các hệ thống này được đặc trưng bởi
hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là
mới có trong hệ thống), tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về một
số vấn đề.
Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn
công mới khi có sự xâm nhập; các vấn đề không bình thường được nhận ra không cần
nguyên nhân bên trong của chúng và các tính cách; ít phụ thuộc vào IDS đối với môi
trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả năng phát hiện sự
lạm dụng quyền của người dùng.
Nhược điểm lớn nhất của phương pháp này là: Xác suất cảnh báo sai nhiều. Hiệu suất hệ
thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào tạo. Do
đó, tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không hợp lý.
Các hành vi người dùng có thể thay đổi theo thời gian, do đó cần phải có một sự nâng cấp
liên tục đối với cơ sở dữ liệu profile hành vi thông thường.
Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát
hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực).
7.3. Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu
Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn
công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm
nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao).
Các dấu hiệu hành vi xấu được chia thành hai loại:
• Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về
bảo mật. Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một
loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính.
• Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm
các hoạt động nghi ngờ.
Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. Do đó, độ chính
xác của chúng rất cao (số báo cảnh sai thấp). Tuy nhiên chúng không thực hiện một cách
hoàn toàn và không ngăn cản hoàn toàn các tấn công mới.
Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:
• Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng
trong các gói IP, TCP, UDP hoặc ICMP. Với kiểm tra đơn giản về tập các cờ trên gói đặc
trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ, gói nào không. Khó khăn ở đây có thể
là phải mở gói và lắp ráp chúng lại. Tương tự, một số vấn đề khác có thể liên quan với
lớp TCP/IP của hệ thống đang được bảo vệ. Thường thì kẻ tấn công hay sử dụng cách mở
các gói để băng qua được nhiều công cụ IDS.
• Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng
chương trình, ví dụ dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập. Để
phát hiện có hiệu quả các tấn công như vậy, IDS phải được bổ sung nhiều giao thức lớp
ứng dụng.
Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai thấp,
thuật toán đơn giản, dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công, dễ dàng bổ sung và tiêu
phí hiệu suất tài nguyên hệ thống tối thiểu.
Một số nhược điểm:
• Khó khăn trong việc nâng cấp các kiểu tấn công mới.
• Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. Phải nâng cấp một
cơ sở dữ liệu dấu hiệu tấn công tương quan với nó.
• Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các lỗ
hổng bảo mật, đó là một quá trình tốn kém thời gian.
• Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDS dựa trên
dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc nghiêm ngặt
của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sử dụng…)
• Chúng dường như khó quản lý các tấn công bên trong. Điển hình, sự lạm dụng quyền
người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì chúng thiếu
thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công).
Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai
lý do. Trước tiên, nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn công đã
biết và để gán tên đối với một tấn công. Thứ hai, cơ sở dữ liệu dấu hiệu tấn công được
nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện).
7.4. Tương quan các mẫu tham số
Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hơn hai phương pháp trước.
Nó được sinh ra do nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ thống khác
nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Thông tin đạt
được trong cách này có một môi trường cụ thể không thay đổi. Phương pháp này liên
quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề
cơ bản cho việc phát hiện dấu hiệu bất thường. Nó có thể được xem như trường hợp đặc
biệt của phương pháp Profile thông thường. Sự khác nhau ở đây nằm ở chỗ trong thực tế,
một profile là một phần hiểu biết của con người.
Đây là một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công
không biết. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối
với chính hoạt động đó. Nó kế thừa những nhược điểm trong thực tế là con người chỉ
hiểu một phần giới hạn thông tin tại một thời điểm, điều đó có nghĩa là các tấn công nào
đó có thể vượt qua mà không bị phát hiện.
Khoa Dương Văn
3.1. Giới thiệu về Snort IDS Software
3.1.1. Một số kiến thức cơ bản về Snort
SNORT là một sản phẩm mã nguồn mở được phát triển nhằm phát hiện những xâm nhập
trái phép vào hệ thống bởi những quy tắc hay luật đã được thiết lập sẵn, những thiết lập
này dựa vào những dấu hiệu, giao thức và sự dị thường.
Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người
quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong
các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort đọc những luật này
vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ mẫu vi
phạm. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh
tế, vì càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu
trong thực tế. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành
động xâm nhập và các quản trị viên cũng có thể thêm vào các luật của chính mình. Quản
trị viên cũng có thể xóa một vài luật đã được tạo trước để tránh việc báo động sai.
Snort bao gồm một hoặc nhiều sensor và một server CSDL chính.Các Sensor có thể được
đặt trước hoặc sau firewall:
* Giám sát các cuộc tấn công vào firewall và hệ thống mạng
* Có khả năng ghi nhớ các cuộc vượt firewall thành công
3.1.2. Các thành phần của Snort
Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau để
phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hỏi. Một
IDS dựa trên Snort bao gồm các thành phần chính sau đây:
• Packet Decoder
• Preprocessor
• Dectection Engine
• Logging và Alerting System
• Output Modules
a. Packet Decoder (Bộ phận giải mã gói)
Bộ phận giải mã gói lấy các gói từ các giao diện mạng khác nhau và chuẩn bị cho việc
gói tin được xử lí trước hoặc được gửi cho bộ phận phát hiện.
b. Preprocessor (Bộ phận xử lí trước)
Bộ phận xử lí trước là những thành phần được sử dụng với Snort để sắp xếp hoặc chỉnh
sửa gói dữ liệu trước khi bộ phận phát hiện làm một vài xử lý để tìm ra gói tin có được sử
dụng bởi kẻ xâm nhập hay không. Một vài bộ phận xử lý trước cũng thực thi việc phát
hiện bằng cách tìm các dấu hiệu bất thường trong header của gói tin và tạo ra các cảnh
báo. Bộ phận xử lí trước là rất quan trọng trong bất kì IDS nào, chúng chuẩn bị cho các
gói dữ liệu được phân tích dựa trên các luật trong bộ phận phát hiện. Kẻ tấn công sử dụng
nhiều kĩ thuật khác nhau để lừa IDS theo nhiều cách. Bộ phận xử lí trước cũng được sử
dụng để tái hợp các gói tin. Trên IDS, trước khi áp dụng bất kì luật nào, phải tái hợp các
gói tin lại để tìm ra các dấu hiệu. Bộ phận xử lí trước trong Snort có thể tái hợp các gói
tin, giải mã HTTP URI, ráp lại các dòng TCP, v.v...Những chức năng này rất quan trọng
trong hệ thống phát hiện xâm nhập
c. Dectection Engine (Bộ phận phát hiện):
Đây là phần quan trọng nhất của Snort. Trách nhiệm của nó là phát hiện có sự xâm nhập
tồn tại trong gói tin hay không. Bộ phận phát hiện sử dụng các luật của Snort cho mục
đích này. Nếu một gói tin giống với bất kì lậut nào, một hành động tương ứng sẽ được
thực hiện. Đây là bộ phận then chốt về thời gian thực thi của Snort. Dựa vào bộ máy
mạnh như thế nào và bao nhiêu luật định nghĩa mà nó có thể tốn những khoảng thời gian
khác nhau đối với các gói tin khác nhau. Nếu lưu lượng trên mạng là quá lớn khi Snort
đang hoạt động trong chế độ NIDS, có thể mất một vài gói tin và có thể thời gian đáp ứng
không chính xác. Lưu lượng trên bộ phận phát hiện phụ thuộc vào các yếu tố sau:
* Số lượng các luật
* Sức mạnh của bộ máy mà Snort đang chạy
* Tốc độ của bus được sử dụng
* Lưu lượng trên mạng
Bộ phận phát hiện hoạt động theo những cách khác nhau ở các phiên bản khác nhau của
Snort. Trong tất cả phiên bản 1.x của Snort, bộ phận phát hiện dừng việc xử lí gói tin khi
phù hợp với một luật. Dựa vào luật, bộ phận phát hiện sẽ có các hành động tương ứng.
Điều này có nghĩa là nếu một gói tin phù hợp với nhiều luật, chỉ có luật đầu tiên được áp
dụng mà không xem xét đến các luật còn lại. Điều này làm nảy sinh một vấn đề. Một luật
có độ ưu tiên thấp sẽ tạo ra một cảnh báo có độ ưu tiên thấp, nếu một luật có độ ưu tiên
cao bị xếp sau trong chuỗi luật. Vấn đề này được giải quyết trong Snort phiên bản 2, khi
mà tất cả các luật được so sánh trên một gói tin trước khi tạo ra một cảnh báo. Sau khi so
sánh tất cả các luật, luật có độ ưu tiên cao nhất sẽ được chọn để tạo cảnh báo. Vì bộ phận
phát hiện trong phiên bản 2 đã được viết lại hoàn toàn nên nó nhanh hơn rất nhiều so với
các phiên bản trước đây.
d. Logging và alerting System (Hệ thống ghi và cảnh báo):
Phụ thuộc vào Dectection Engine phát hiện tìm thấy trong gói tin, gói tin có thể được sử
dụng để ghi lại các hành vi hoặc tạo ra một cảnh báo. Các thông tin ghi lại được giữ trong
các file text đơn giản hoặc các dạng khác.
e. Output Modules (Bộ phận đầu ra):
Module đầu ra hoặc plug-in có thể hoạt động theo nhiều cách phụ thuộc vào việc muốn
lưu các output được tạo ra bằng hệ thống ghi và tạo cảnh báo như thế nào.
3.1.3. Các chế độ hoạt động của Snort
Snort có 3 chế độ hoạt động cơ bản:
• Sniffer (snort -v).
• Packet logger (snort -l)
• Network Intrusion Detection System (snort -A hoặc snort –c ).
a. Snort là một Sniffer:
Các công cụ sniffer mạng như tcpdump, ethereal, và Tethereal có đầy đủ các đặc tính và
phân tích gói tin một cách xuất sắc nó theo dõi lượng mạng trên bộ cảm biến Snort.
Trong trường hợp này, sử dụng Snort như là một sniffer là khả thi. Kết quả xuất của chế
độ Snort sniffer hơi khác so với các sniffer khác. Nó rất dễ để đọc và có thể thấy thích
khả năng bắt giữ gói tin nhanh của nó. Một đặc tính hay của chế độ này là việc tóm tắt
lưu lượng mạng khi kết thúc việc bắt giữ gói tin. Thỉnh thoảng, nó có thể là một công cụ
gỡ dối hữu dụng cho nhà quản trị. Bật chế độ sniffer cho snort bằng cờ -v:
Code:
#snort –v
Trong lúc khởi động, Snort hiển thị chế độ, thư mục ghi log, và các giao diện mà nó đang
lắng nghe. Khi việc khởi động hoàn tất, Snort bắt đầu xuất các gói tin ra màn hình. Kết
quả xuất này khá cơ bản : nó chỉ hiển thị các header IP,TCP/UDP/ICMP và một số cái
khác. Để thoát chế độ sniffer, sử dụng Ctrl-C. Snort thoát bằng cách tạo ra một bản tóm
tắt các gói tin được bắt giữ, bao gồm các giao thức, thống kê phân mảnh và tái hợp gói
tin. Để xem dữ liệu ứng dụng, sử dụng cờ -d. Tùy chọn này cung cấp các kết quả chi tiết
hơn:
Code:
# snort –vd
Dữ liệu ứng dụng có thể thấy được qua các plain text trong gói tin. Trong trường hợp
này, văn bản gửi từ một server DNS được thể hiện dưới dạng plain text. Để xem được chi
tiết hơn, bao gồm các header lớp liên kết dữ liệu, sử dụng cờ -e. Việc sử dụng cả hai tùy
chọn –d và –e sẽ cho hiển thị hầu như tất cả các dữ liệu trong gói tin:
Code:
# snort –vde
Các chuỗi thập lục phân hiển thị nhiều dữ liệu hơn. Có địa chỉ MAC và địa chỉ IP. Khi
thực hiện kiểm tra trên một mạng hoặc bắt giữ dữ liệu bằng Snort, việc bật –vde cung cấp
nhiều thông tin nhất. Để lưu lại trong logfile thay vì xuất ra console, sử dụng:
Code:
# snort -dve > ttooip.log.
Tóm lại, đây là các tùy chọn có thể sử dụng với chế độ sniffer của Snort. Những tùy chọn
này có thể chạy độc lập hoặc kết hợp với cái khác
b. Snort là một Packet logger:
Bước tiếp theo sau khi sniffing các gói tin là ghi log chúng. Việc ghi log chỉ đơn giản
bằng cách thêm tùy chọn –l, theo sau đó là thư mục muốn lưu trữ các log. Thư mục mặc
định trong Snort là /var/log/snort. Nếu xác định một thư mục không tồn tại thì Snort sẽ
báo một thông điệp lỗi. Có thể sử dụng các tùy chọn –d, -a và –e để điều khiển số lượng
thông tin sẽ được ghi log cho mỗi gói tin. Trong ví dụ sau đây, thư mục log được thiết lập
là /usr/local/log/snort, và các logfile bao gồm các payload gói tin:
Code:
# snort -1/usr/local/log/snort –d
Khi chạy trong chế độ này, Snort thu thập mỗi gói tin nó thấy và lưu chúng trong thư mục
log theo kiểu phân cấp. Nói cách khác, một thư mục mới được tạo ra cho mỗi địa chỉ
được bắt giữ và dữ liệu liên quan đến địa chỉ này được lưu trong thư mục đó. Snort lưu
các gói tin thành các file ASCII, với tên file được tạo ra từ giao thức và số cổng. Cách tổ
chức này làm cho nhà quản trị có thể dễ dàng thấy được ai đang kết nối với mạng, số
cổng và giao thức họ đang sử dụng (sử dụng ls –R để liệt kê thư mục log). Hãy nhớ xác
định biến mạng của cơ quan hay tổ chức (trong file cấu hình hoặc sử dụng -h ) để xác
định chỉ ghi log cho mạng của cơ quan.
Cách tổ chức phân cấp này hữu dụng khi một số giới hạn các host được quan tâm hoặc
muốn thoáng qua các địa chỉ IP của các host được bắt giữ. Tuy nhiên, thư mục log có thể
ngày càng nhiều vì sự gia tăng thư mục và các file. Nếu ghi log tất cả lưu lượng trên một
mạng lớn thì có thể sẽ bị tràn index Unix giới hạn tổng số file trong một file hệ thống)
trước khi bị tràn bộ nhớ. Nếu một người nào đó thực hiện việc quét mạng và ánh xạ tất cả
65536 cổng TCP cũng như 65536 cổng UDP, sẽ đột ngột có hơn 131000 file trong một
thư mục đơn. Sự bùng nổ file này có thể là một thử thách lớn cho bất kì một máy nào, và
rất dễ trở thành cách tấn công DOS. Việc ghi log theo kiểu nhị phân có thể đọc được bởi
Snort, tcpdump hoặc ethereal. Cách này làm tăng tốc độ và khả năng vận chuyển của việc
bắt giữ gói tin. Hầu hết các hệ thống có thể bắt giữ và ghi log với tốc độ 100 Mbps mà
không có vấn đề gì. Để ghi log các gói tin theo kiểu nhị phân, sử dụng –b switch. Ví dụ:
Code:
#snort-b -l /usr/local/log/snort/ttôip.log
Khi đã thực hiện việc bắt giữ gói tin, có thể đọc lại các file vừa tạo ra bằng khóa –r. Kết
quả giống như sniffer của Snort. Lưu ý rằng –r không thể sử dụng với –C.
Code:
# snort -r /usr/local/log/snort/ttôip.log
Ở chế độ này, Snort không giới hạn việc đọc dữ liệu nhị phân được lưu trữ trong chế độ
sniffer.
c. Snort là một NIDS:
Snort là một công cụ phát hiện xâm nhập tuyệt vời. Khi được sử dụng như là một NIDS,
Snort cung cấp khả năng phát hiện xâm nhập gần như là thời gian thực. Chúng ta sẽ xem
rất nhiều cách mà Snort có thể được sử dụng như là một NIDS và tất cả các tùy chọn cấu
hình có thể. Trong chế độ cảnh báo, Snort cần một file cấu hình (thật ra, chỉ cần xác định
vị trí của file snort.conf là đặt Snort trong chế độ này). Vị trí mặc định của file này là
/etc/snort.conf. Nếu muốn đặt ở một vị trí khác, phải sử dụng khóa –c kèm với vị trí đặt
file. Các cảnh báo được đặt trong file alert trong thư mục log (mặc định là
(/var/log/snort). Snort sẽ thoát ra với với một lỗi nếu file cấu hình hoặc thư mục log
không tồn tại.
Các cài đặt mặc định cho hầu như tất cả các mục trong file này là khá tốt (mặc dù sẽ có
các cảnh báo nhầm). Biến duy nhất chúng ta mới thiết lập là biến RULE_PATH, chỉ cho
Snort nơi của các file luật. File cảnh báo nằm trong thư mục /var/log/snort. File này chứa
các cảnh báo được tạo ra khi Snort đang chạy. Các cảnh báo Snort được phân loại theo
kiểu cảnh báo. Một luật Snort cũng xác định một mức độ ưu tiên cho một cảnh báo. Điều
này cho phép lọc các cảnh báo có độ ưu tiên thấp.
[...]... chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành 5.Công cụ hỗ trợ cho IDS Có 1 số công cụ hỗ trợ cho hệ thống xâm nhập IDS, trong phần này chúng ta sẽ đề cập đến bốn công cụ hỗ trợ đó: hệ thống phân tích tổn thương, bộ kiểm tra toàn vẹn dữ liệu, honey pots, Padded cell Những thành phần này có thể tăng cường, hỗ trợ, tổ chức như thế nào với hệ thống phát... đích của tin tặc 6 Các kĩ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS.Dưới đây là một số hệ thống được mô tả vắn tắt Hệ thống Expert (Expert system) 6.1 Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ... thường Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực) 7.3 Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức... việc làm profile ở đây đó là: khi hệ thống được phép “học” trên chính nó, thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này, nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể Ngoài ra, còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống, một nhiệm vụ khó khăn và... đánh giá tổn thương chính là việc đánh giá dữ liệu của hệ thống như dữ liệu, việc cấu hình, trạng thái của những thông tin khác - Network-based: Sự phân tích đánh giá tổn thương yêu cầu 1 kết nối từ xa tới hệ thống đích Công việc đánh giá bao gồm ghi chú lại sự phản hồi của hệ thống hay đơn giản là thăm dò xem xét để biết những điểm yếu của hệ thống 5.2 Kiểm tra toàn vẹn dữ liệu Những bộ kiểm tra toàn... các hệ thống thương mại 6.6 Phương pháp phân tích thống kê (Statistical analysis approach) Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng Hệ thống. .. tin tặc tấn công Honey pot được thiết kế bao gồm những mục đích sau: - Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ - Tập hợp thông tin về tin tặc và hành động của tin tặc - Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị phản hồi lại Padded Cell: khác với honey pot là hướng tin tặc theo kế hoạch của mình thì padded cell được thiết kế để theo dõi hành động thay đổi dữ... phát hiện xâm nhập IDS sẽ được làm rõ ở những mục dưới đây 5.1 Hệ thống phân tích đánh giá tổn thương Sự phân tích đánh giá tổn thương (sự định giá cũng được biết như tính dễ bị tổn thương) là công cụ kiểm tra xác định liệu có phải một mạng hay host có thể bị tổn thương tới những sự tấn công được biết Sự đánh giá tổn thương đại diện cho một trường hợp đặc biệt của quá trình phát hiện xâm nhập Những... (người dùng hay kẻ xâm phạm) Thực ra các phương pháp thống kê cũng một phần được coi như neural networks Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kết quả cho thấy rằng... trong việc dự đoán người dùng và hành vi hệ thống Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành ... ngừa Xâm nhập đòi hỏi tất yếu cho kiến trúc an ninh Về bản, giải pháp Ngăn ngừa Xâm nhập thay thế hệ tường lửa trước tiên chúng phải hoạt động tường lửa muốn thành công Một Hệ thống Ngăn ngừa. .. Ngăn ngừa xâm nhập (IPS) ? Các Hệ thống Ngăn ngừa Xâm nhập Hai kiểu IPS biết thị trường “dựa vào máy chủ” “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” phần mềm ngăn ngừa xâm nhập viết... có khả phát ngăn ngừa công quen biết” Thậm chí đơn giản hơn, Ngăn ngừa Xâm nhập đề cập đến việc phát sau ngăn chặn công chuyên biệt ứng dụng biết Thuật ngữ Hệ thống Ngăn ngừa Xâm nhập (Intrusion