6. Bố cục của luận văn
1.6.8.4. Cơ chế hoạt động của hệ thống IDS/IPS
IDS có các chức năng là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn công đó. Có các phƣơng pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công. IDS hoạt động dựa trên 3 phƣơng pháp phát hiện xâm nhập:
* Mô hình phát hiện sự lạm dụng:
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã đƣợc biết đến, mỗi cách thức này đƣợc mô tả nhƣ một mẫu.
Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô hình hoá các hành vi chỉ định một sự xâm nhập. Các hệ thống phát hiện sự lạm dụng sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một lƣợng lớn tập luật đƣợc tích luỹ dẫn đến khó có thể hiểu và sửa
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ đổi bởi vì chúng không đƣợc tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập.
Để giải quyết khó khăn này, các hệ thống đƣa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép biến đổi trạng thái. Điều này sẽ mang tính hiệu quả hơn đối với ngƣời dùng hệ thống cần đến sự biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải thƣờng xuyên duy trì và cập nhật để đƣơng đầu với những kịch bản xâm nhập mới đƣợc phát hiện.
* Mô hình phát hiện các dấu hiệu bất thường
Mô hình phát hiện các dấu hiệu bất thƣờng (Abnormaly-base Detection) so sánh định nghĩa của những hoạt động bình thƣờng và đối tƣợng quan sát nhằm xác định các độ lệch. Một hệ IDS sử dụng phƣơng pháp Anormaly-base Detection có các profiles đặc trƣng cho các hành vi đƣợc coi là bình thƣờng, đƣợc phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian. Sau khi đã xây dựng đƣợc tập các profile này, hệ IDS sử dụng phƣơng pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngƣỡng định bởi profile tƣơng ứng để phát hiện ra những bất thƣờng.
Quá trình phát hiện đƣợc mô tả bởi 3 yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (information source): Kiểm tra các gói tin trên mạng - Phân tích (Analysis): Phân tích các gói tin đã thu thập để nhận biết hành động nào là tấn công.
- Cảnh báo (response): Hành động cảnh báo cho sự tấn công.
* Kiểm tra tính toàn vẹn
Kiểm tra tính toàn vẹn là một phƣơng pháp đơn giản nhƣng đem lại hiệu quả cao trong việc giám sát, phát hiện xâm nhập. Nó hoạt động bằng cách tạo ra một checksum cho mỗi tập tin trên một hệ thống, và sau đó định kỳ so sánh checksum đó với tập tin gốc để đảm bảo tập tin không bị thay đổi. Nếu một sự thay đổi tập tin trái phép xảy ra, một cảnh báo sẽ đƣợc đƣợc tạo ra. Nhƣợc điểm của kiểm tra tính toàn vẹn là nó đòi hỏi quyền truy cập vào các file nhạy cảm trên máy chủ.
Để có đƣợc một hệ thống chống tấn công mạng tốt nhất ta tiến hành kết hợp hai mô hình phát hiện trên trong cùng một hệ thống. Hệ thống kết hợp này sẽ cung cấp khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
Sơ đồ hệ thống kết hợp nhƣ sau:
Hình 1.10. Hệ thống kết hợp 2 mô hình phát hiện [4]
Tổng kết chƣơng 1
Trong chƣơng đã trình bày các khái niệm cơ bản về hệ giám sát, phát hiện và chống xâm nhập mạng, nhu cầu, mục tiêu và phƣơng thức giám sát, chống tấn công mạng. Việc tìm hiểu rõ giao thức SNMP, hệ thống IDS/IPS sẽ giúp cho ngƣời quản lý hệ thống biết đƣợc hệ thống đang quản lý đƣợc giám sát nhƣ thế nào.
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
CHƢƠNG 2. NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG