C .hức năng của IDS
2. Kiến trúc của hệ thống phát hiện xâm nhập IDS
II.PHƯƠNG THỨC PHÁT HIỆN 1 Misuse – based system
1. Misuse – based system
Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based.
Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình
này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.
Match ?
Knowledge – based IDS
Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh báo.
Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo, và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau:
Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Ví dụ quen thuộc về signature-based là Snort, EMERALD và nhiều sản phẩm thương mại khác.
Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai, chúng có sự khác biệt cơ bản về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập trái phép).
Audit Data Knowledge Base
Stateless IDS coi các sự kiện là độc lập với nhau, khi việc xử lý sự kiện hiện tại đã hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. Phương pháp tiếp cận này đã đơn giản hóa việc thiết kế hệ thống, đặc biệt là A–box, vì nó không cần phải lưu trữ và bảo quản thông tin về các hành động trước đây. Hệ stateless thường có hiệu năng cao đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó với cơ sở dữ liệu, không cần phải xử lý thêm gì nữa.
Tuy nhiên, hệ stateless cũng có nhiều giới hạn. Trước tiên là nó không có khả năng phát hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau, vì hệ này chỉ xử lý từng hành động một và không lưu chúng lại. Còn nếu ta đưa dấu hiệu về các hành động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi, thì có thể tạo ra số lượng lớn các cảnh báo nhầm, vì hành động đó có thể là một hành động thông thường, phải nằm trong chuỗi các hành động khác mới có khả năng xâm nhập. Điều này ngược với lợi thế chính của hệ misuse–based IDS.
Hơn nữa, hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng cảnh báo lớn. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra chuỗi các sự kiện được mô tả là có ý đồ xấu, gây nên “alert storm” làm tê liệt IDS và che dấu ý đồ tấn công thực.
Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ. Vì thế, tác động của các sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. Trong khi kiểu tiếp cận này làm tăng độ phức tạp cho hệ thống, đặc biệt là A–box, nó cho thấy lợi thế rõ rệt. Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước, hơn nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một kiểu tấn công sẽ khó khăn hơn. Tuy nhiên, hệ thống này dễ bị tấn công bằng kiểu tấn công trạng thái, khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn, làm giảm hiệu năng của hệ thống.
Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ
Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái (state transition), trong đó state là trạng thái tạm thời của hệ thống, thể hiện giá trị vùng nhớ của hệ. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an toàn ban đầu sang trạng thái có hại cuối cùng, thông qua các trạng thái trung gian. Kỹ thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. IDS sẽ tìm kiếm sự biến đổi đó, vì thế hệ này thuộc dạng stateful. Mô hình chuyển đổi trạng thái này có khả năng diễn tả rất tốt các dạng tấn công, kể cả việc mô tả bằng đồ họa. Trong thực tế, các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình chuyển đổi trạng thái. Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo, vì toàn bộ chuỗi hành động gây cảnh báo có thể được cung cấp. Hơn nữa, nó cho phép triển khai phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng, điều này hiệu quả hơn là chỉ phát hiện ra cuộc tấn công.
Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc.