Để hiểu và nắm vững phương pháp phát hiện và ngăn chặn tấn công, thâm nhập, một hệ thống kiến thức cơ sở về hệ thống IDS/IPS là cần thiết. Dưới đây là các thuật ngữ sử dụng trong công nghệ ngăn chặn thâm nhập
Bảng 1 – Thuật ngữ IDS/IPS
Terminology Description
Inline mode Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập trước khi nó đến được mục tiêu.
Promiscuous mode (passive mode)
Thụ động kiểm tra lưu thông mạng.
Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương tự như giao thức)
Meta-Event Generator
Khả năng định nghĩa tín hiệu biến đổi dựa trên nhiều tín hiệu khác.
Atomic signature Một tín hiệu phát ra theo nội dung của từng gói tin.
Flow-based signature
Một tín hiệu phát ra dựa trên thông tin chứa trong trình tự gói tin giữa 2 hệ thống (ví dụ như gói tin trong kết nối TCP)
Behavior-based signature
Một tín hiệu phát ra khi có lưu thông bất thường từ những người dùng thông thường.
Anomaly-based
Bảng 1 – Thuật ngữ IDS/IPS
Terminology Description
False negative Tình huống mà hệ thống phát hiện không nhận biết được thông nhập mặc dù có một tín hiệu nhận biết được hoạt động đó.
False positive Tình huống người dùng bình thường gây ra báo động (không có hành vi đột nhập).
True negative Tình huống mà không phát sinh tín hiệu khi có lưu thông bình thường trên mạng.
True positive Tình huống báo động đúng khi có đột nhập, tấn công trên mạng.
Deep-packet
inspection Giải mã các giao thức và kiểm tra toàn bộ gói tin để cho những luật dựa trên gói tin hoạt động đúng.
Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ.
Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa trên tính nghiêm trọng của tấn công.
IPS/IDS Triggers
Mục đích của thiết bị IDS/IPS là nhận diện tấn công và ngăn chặn nó. Tuy nhiên không phải loại thiết bị nào cũng dùng chung một phương thức giống nhau. Có ba phương thức chính được sử dụng trong hệ thống IDS/IPS hiện tại.
Anomaly detection Misuse detection Protocol analysis Chú ý :
Phương thức nhận biết dựa trên hành động gây ra các báo động của hệ thống IDS/IPS. Ví dụ phương thức với một hệ thống chống trộm phổ thông chính là sự kiện cửa sổ vỡ. Một IDS có thể gây ra một báo động khi có một gói tin tới một cổng xác định với một dữ liệu xác định.
Anomaly Detection (Nhận biết bất thường)
Nhận biết bất thường còn có thể gọi là nhận biết dựa trên hồ sơ. Trong nhận biết bất thường, ta xây dựng những hồ sơ xác định xem những hành vi nào là bình thường. Những hồ sơ này có khả năng tự học qua những cư xử trong quá khứ. Sau khi định nghĩa những hồ sơ bình thường này, những gì còn lại là bất thường và sẽ tạo ra báo động. (adsbygoogle = window.adsbygoogle || []).push({});
Lợi ích chính của nhận biết bất thường là những báo động tạo ra không dựa trên những tín hiệu của những dạng tấn công cụ thể mà dựa trên những hành động bất thường của nó. Bởi vậy mà hệ thống có thể phát hiện được tấn công ngay cả trước khi tấn công đó được công bố.
Misuse Detection (Nhận biết lạm dụng)
Nhận biết lạm dụng là nhận biết dựa trên những dấu hiệu, nó tạo ra thông báo khi có hoạt động với những dấu hiệu trùng khớp với những dấu hiệu đã xác định trước. Những dấu hiệu này là một tập hợp các luật bịt những lỗ hổng mà kẻ tấn công có thể lợi dụng để thâm nhập vào mạng. Những kĩ sư có kinh nghiệm có thể biết những tấn công và lỗ hổng để phát triển những luật cho mỗi tín hiệu riêng.
Một số lợi ích chính là :
Tín hiệu dựa trên những tấn công đã biết. Dễ thiết lập những nhận biết tấn công Hệ thống dễ hiểu
Nhận biết tấn công ngay sau khi cài đặt
Protocol Analysis (Phân tích giao thức)
Phương thức cuối cùng là phân tích giao thức. Phương thức này sẽ phân tích các hoạt động dựa trên các giao thức xác định. Nó sẽ phân tích gói tin dựa trên định nghĩa của giao thức trong RFC và các payload hay tiêu đề gói tin.
Sử dụng phân tích giao thức, những tấn công phải có được các gói tin hợp lệ và cũng phải không chứa các tấn công trong payload hoặc tiêu đề gói tin.
IPS/IDS Monitoring Locations (Địa điểm giám sát IPS/IDS) Có hai loại địa điểm giám sát sau :
Host-Based Network-Based
Host-Based
Hệ thống phát hiện thâm nhập dựa trên máy trạm kiểm tra những hoạt động trái phép bằng cách kiểm tra thông tin ở mức máy hoặc mức hệ điều hành. Những hệ thống này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báo lỗi hệ thống …
Vì IPS/IDS dựa trên máy kiểm tra lưu thông sau khi nó đã đến máy bị tấn công. Vậy nên nó biết chính xác máy đó có bị tấn công thành công hay không.
Network-Based
Một hệ thống phát hiện thâm nhập dựa trên mạng kiểm tra những gói tin lưu chuyển trên mạng và so sánh những lưu thông với những dấu hiệu đột nhập biết trước. Một thiết bị IPS dựa trên mạng kiểm tra lưu thông như là một thiết bị hoạt động ở tầng 2.
Lưu ý :
Để xem được toàn bộ gói tin của mạng tức là phải kiểm tra tất cả các gói tin lưu chuyển qua mạng. Thông thường, một máy chỉ kiểm tra gói tin mà có địa chỉ tới nó cùng với gói tin quảng bá. Để có khả năng thấy tất cả các gói tin của mạng, thiết bị IDS phải đặt card mạng ở hình thái promiscuous. Trong hình thái này, card mạng kiểm tra tất cả các gói tin mà không cần biết đến địa chỉ đích của nó.
Một hệ thống phát hiện thâm nhập dựa trên mạng lợi hơn một hệ thống dựa trên máy ở những điểm sau :
Có được cái nhìn tổng quan về toàn mạng
Không phải chạy trên tất cả các máy trong mạng
Vì thiết bị dựa trên mạng có thể thấy được nhiều máy, nên nó có một cái nhìn tổng quan về tấn công với mạng. Nếu có người quét máy trong mạng, thông tin đó sẽ được cảnh báo ngay lập tức.
Một lợi ích khác của hệ thống này là nó không cần phải chạy trên mọi máy trong mạng. Thay vào đó, hệ thống dựa vào một số lượng các sensor nhất định để thu thập lưu thông mạng. Các sensor này có thể tối ưu hóa vì nó chỉ cần làm một số công việc xác định trên mạng.