Modul phát hiện tấn công:

Một phần của tài liệu Tài liệu Khoá luận Bảo đảm ATTT trong kiểm soát truy nhập pdf (Trang 35 - 36)

M ạng riêng ảo làm ạng dành riêng, để kết nối các máy tính của các tổ chức với nhau thông qua mạng Internet công cộng.

2) Modul phát hiện tấn công:

Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:

+ Dò tìm sự lạm dụng (Missuse Detection):

Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu tấn công đã biết.

Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.

Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.

+ Dò tìm sự không bình thường (Anomaly Detection):

Là kĩ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. Chúng lưu trữ các mô tả, sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công có những hành động khác so với bình thường có thể sẽ bị nhận dạng.

Một số kĩ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công: - Dò tìm dựa vào ngưỡng (Threshold detection):

Kĩ thuật này nhấn mạnh thuật ngữ “đếm”, các mức ngưỡng về các hoạt động bình thường được đặt ra.

- Dò tìm tự học (Self- learning detection):

Kĩ thuật này gồm 2 bước, khi thiết lập hệ thống phát hiện tấn công nó sẽ chạy ở chế độ tự học thiết lập một lịch sử để ghi lại các hoạt động của mạng. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ cảm ứng theo dõi các hoạt động bất thường của mạng so với lịch sửđã thiết lập.

- Dò tìm giao thức không bình thường (Anomaly protocol detection): Căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công. Kĩ thuật này hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu thập thông tin.

Phương pháp dò sự không bình thường của hệ thống hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Nó có thể phát hiện các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng. Tuy nhiên, nó thường tạo ra một số cảnh báo sai lầm làm giảm hiệu suất hoạt động của mạng.

Một phần của tài liệu Tài liệu Khoá luận Bảo đảm ATTT trong kiểm soát truy nhập pdf (Trang 35 - 36)

Tải bản đầy đủ (PDF)

(49 trang)