Hệ thống phát hiện xâm nhập mạng (NIDS): Định nghĩa, nguyên lý và cách thức hoạt động
MỤC LỤC
Những dấu hiệu xâm nhập thông thường Có 3 cách thức chính để thực hiện hành vi xâm nhập
• Do thám (Reconnaissance): bao gồm việc quét các địa chỉ, DNS, quét các cổng TCP, UDP,…và các Web server để tìm ra các lỗ hổng CGI. • Từ chối dịch vụ (Denial of Service-DoS): kẻ xâm nhập sẽ cố gắng phá vỡ một dịch vụ, quá tải kết nối mạng, quá tải CPU, hoặc làm đầy đĩa.
Hệ thống phát hiện xâm nhập (IDS)
Định nghĩa, chức năng, nguyên lý làm việc
Định nghĩa: Hệ thống phỏt hiện xõm nhập là hệ thống cú nhiệm vụ theo dừi, ghi lại, và (có thể) ngăn cản sự xâm nhập cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ. Hai cách thức phát hiện này cũng chính là những nguyên lý làm việc của các hệ thống IDS từ trước đến nay, do đó đi sâu tìm hiểu hai cách thức đó đồng nghĩa với việc tìm hiểu về cơ chế hoạt động của các hệ thống IDS. Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định nghĩa rừ ràng (chỉ cần một bit khỏc nhau), cũn ranh giới giữa hành vi hợp lệ và hành vi bất thường thì khó xác định hơn.
Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để cảnh báo xâm nhập chứ không phải là chỉ ra sai khác ở đâu nên chúng ta có thể sử dụng dạng biểu diễn được nén để giảm chi phí, gọi là dấu hiệu (signature). Hành vi của hệ thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ những hành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mới được xem xét. Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soát hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầu của hành vi được mong đợi (chính là profile cơ sở), để tìm ra sự khác nhau.
Trong các hệ thống, những người dùng dần dần thay đổi hành động của họ vì vậy các profile chứa hành vi lạm dụng gần như không thể phát hiện đối với những bộ phát hiện sự không bình thường ở trên do đó kỹ thuật phát hiện sự lạm dụng ra đời.
Vị trí
Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thống phát hiện sự lạm dụng có thể dựa theo đó để theo vết hành động xâm nhập. Trong một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập. Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo, có thể can thiệp để làm giảm bởi tác hại có thể.
Phân loại
Không phải tất cả các loại này đều đại diện cho dò tìm kinh điển nhưng chúng đóng một vai trò quan trọng trong mục đích tổng thể là dò tìm và ngăn chặn sự xâm nhập trên một mạng toàn thể:• Hệ thống phát hiện xâm nhập dựa trên mạng (Network Based Intrusion. Detection System-NIDS). Chúng chạy trên một hê thống chuyên dụng dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trong mạng của bạn tại một vị trí cho phép nó kiểm soát các cuộc giao vận nhạy cảm. Như vậy đòi hỏi thời gian phân tích để ước lượng thiệt hại từ một sự xâm phạm tiêm tàng tăng tuyến tính với so lượng các host cần bảo vệ..Ví dụ ta cần một thời gian t để nghiên cứu về tai nạn trên một hệ thống, sẽ mất thời gian 2t để nghiên cứu trên 2 hệ thống,.
Giả sử kẻ tấn công đạt đựơc đặc quyền user cấp cao trong hệ thống của bạn, kẻ tấn công có thể tìm ra thiết bị kiẻm tra tính toàn vẹn, thực hiện một số thay đổi và cho thiết bị chạy lại để tạo lại cơ sở dữ liệu giá trị băm. Rất nhiều quản trị không muốn chạy các thiết bị kiểm tra thường xuyên, điều đó sẽ hạn chế các tính năng của nó, bởi vì nếu một thiết bị được chạy một lần mỗi tháng nó sẽ báo rất nhiều sự thay đổi mà một cuộc tấn công thực sự đã có một cơ hội tốt để tiến hành mà không có một sự chú ý nào cả. Một vulnerability scanner khác với một hệ thống phát hiện sự xâm nhập, như đã đề cập ở trên, một vulnerability scanner tìm kiếm các cấu hình trạng thái còn IDS tìm kiếm sự lạm dụng nhất thời hay các hoạt động không bình thường.
Network vulnerability scanner gần như dành riêng cho các hệ thống dựa trên dấu hiệu.Giống như một IDS dựa trên dấu hiệumột vulnerability scanner dựa trên dấu hiệu chỉ có thể phát hiện các điểm dễ bị xâm phạm được lập trình để nhận diện. Một host vulnerability scanner khác một network vulnerability ở chỗ nso bị hạn chế hoàn toàn trong một hệ điều hành cục bộ.Một network vulnerability scanner yêu cầu máy đích có thể truy cập được từ trên mạng hợp lệ cho hoạt động của nó, một host vulnerability scanner không như vậy. Nó có thể thường xuyên nói cho người sử dụng biết miếng vá nào cần được sử dụng để sửa chữa những điểm dễ bị xâm phạm được nhận dạng trong khi một hệ thống network vulnerability scanner đôi khi chỉ đưa ra một hướng dẫn chung.
NIDS (Network - based IDS) .1 Lí do lựa chọn NIDS
Để thực hiện được nhiệm vụ này, bộ dò tìm có thể áp dụng cách tiếp cận tập trung, theo đó mọi thông tin được thu thập trên một máy và sau đó được phân tích hoặc có thể tiếp cận theo cách phân quyền (phân cấp), tại đó chỉ thông tin cục bộ được phân tích và lựa chọn, thông tin quan trọng được chia sẻ giữa các thành phần phát hiện xâm nhập qua các nút. Dữ liệu thu thập: được lấy từ nhiều nguồn khác nhau, ví dụ các log file của Web server, log file của firewall, các thông tin về việc sử dụng tài nguyên CPU, việc truy cập các tài nguyên của HĐH ..Hệ thống có phát hiện được sự xâm nhập hay không phụ thuộc trước tiên vào việc thu thập dữ liệu. Nếu việc thu thập dữ liệu chậm hoặc bị mất mát thì rất dễ bị mất dấu vết của kẻ xâm nhập, lấy ví dụ cụ thể, một chương trình cần giám sát hoạt động xảy ra trên mạng, nó phải có thể bắt được hết các gói tin truyền trên mạng, nếu tốc độ mạng lớn, thông lượng đường truyền cao việc theo kịp tốc độ mạng là rất khó.
Thay thế mô hình one-size-for-all bằng mô hình có khả năng thay đổi, tầm triển khai lớn của các thiết bị IDS cho phép các nhà bảo mật chuyên nghiệp mở rộng khả năng bảo vệ mạng hơn trước đây, bằng cách đó tạo ra các thiết bị điều khiển hiệu quả hơn và công việc kinh doanh được an toàn hơn. Giống như trong kịch bản triển khai ở trên, firewall như một vòng đai cho các văn phòng chi nhánh và các văn phòng từ xa, không chỉ bảo vệ chúng mà còn dừng các IDS doanh nghiệp kiểm soát giao thông tại các vị trí này.Không có một văn phòng nào không phải chịu các cuộc tấn công back door tạo ra các lỗ hổng trong vành đai mạng và đưa các tài sản thông tin vào tình trạng mạo hiểm. Các hacker cố gắng làm mù bộ cảm biến để làm cho NIDS khó thậm chí không thể dò ra một cuộc tấn công thực sự bằng cách làm tràn ngập mạng với các cuộc giao vận giả để ẩn đi cuộc tấn công thực sự hoặc sử dụng cuộc giao vận kì dị để lấn tránh hệ thống dò tìm.
Dạng tấn công “stick” mới được công khai gần đây có khả năng làm mù hoàn toàn ký nghệ dẫn đầu NIDS làm cho các cuộc tấn công khác có thể được gửi đi mà hoàn toàn không bị dò thấy.Thêm vào đó một số bộ cảm biến NIDS không tập hợp các gói được phân nhỏ lại hoặc sử dụng các giá trị trung bình đơn giản, giành được thị trường của chúng mà không thực sự phân phối một giải pháp. Bằng cách thực thi các công nghệ dò tìm sự xâm phạm đã được cải tiến như là ráp gói đa đường hay phân tích gói tốc độ cao, một số hệ thống dò tìm thế hệ hai vời nhiều ưu điểm hơn, có tính thích nghi cao hơn, và có hiệu quả trong việc ngăn ngừa các dạng tấn công gây mù hay tấn công lảng tránh. Giả thuyết của chúng ta là: để có được độ chính xác cực đại, các thuật toán dò tỡm trong một hệ thống NIDS chỉ nờn chọn dữ liệu đầu vào cú tớnh rừ ràng, dễ hiểu, độ tin cậy cao và thao tác trên dữ liệu đó bởi các hàm biến đổi có thể được mô hình với độ chính xác cao và tình trạng không an toàn là ít.