IDS (Intrusion Detection System)

Một phần của tài liệu Tìm hiểu và xây dựng hệ thống phát hiện xâm nhập trên mạng IP (Trang 40 - 42)

5. Một số các biện pháp phòng tránh

5.3.2. IDS (Intrusion Detection System)

Như đã trình bày ở trên, Firewall hay IPSec chỉ là phương pháp với nhiệm vụ chủ yếu là phòng thủ, tức là chủ yếu ngăn chặn các loại hình tấn công từ bên ngoài vào và đảm bảo an toàn khi truyền dữ liệu tức là chống tấn công một cách thụ động. Ngày nay, các kiểu tấn công ngay từ bên trong mạng đã trở nên phổ biến và đặc biệt nguy hiểm. Chẳng hạn như việc phát tán các virus Trojan, truy cập và sử dụng trái phép tài nguyên mạng, hoạt động gián điệp… Những loại tấn công từ bên trong này quả thật là rất khó phát hiện và hậu quả mà nó gây ra cũng không phải là nhỏ.

Vì những lý do trên nên để hệ thống an ninh mạng của ta được hoàn thiện thì cần phải có một hệ thống có khả năng phát hiện được các kiểu tấn công ngay từ trong mạng. Hệ thống đảm nhận chức năng này có tên là IDS.

Intrusion Detection là quá trình theo dõi các sự kiện xảy ra trong hệ thống mạng máy tính và phân tích chúng để tìm ra những dấu hiệu của sự xâm phạm (intrusion) nhằm đảm bảo tính mật, tính toàn vẹn, tính sẵn sàng cho hệ thống. Những sự xâm phạm thường được gây ra bởi những kẻ tấn công (attackers) truy cập vào hệ thống từ Internet, những người dùng hợp pháp cố gắng truy cập đến những tài nguyên không thuộc thẩm quyền của mình hoặc sử dụng sai những quyền đã được cho phép.

Các kỹ thuật dò tìm sự xâm phạm

Một lần nữa ta phải khẳng định rằng việc xây dựng một hệ thống IDS không phải là chuyện đơn giản. Ví dụ như cần phải có một cơ sở dữ liệu lưu trữ các hành vi của từng người sử dụng trong mạng. Những hành vi này có thể là thói quen làm việc gì đó trên mạng, hay thường vào một site nào đó của một người dùng cụ thể. Khi có một hành động bất thường xảy ra (so với thói quen thường ngày) thì đòi hỏi IDS phải có sự theo dõi gắt gao cho tất cả các hành động của người sử dụng này và dĩ nhiên những thông tin này phải được lưu trong CSDL để nếu lần sau người này có truy cập vào mạng thì ta có cơ chế quản lý khác. Như vậy việc xây dựng và tổ chức một CSDL như thế này là rất khó.

Tuy nhiên, một cách tổng quát, một hệ thống IDS thường dựa vào các cách sau để xác định sự xâm phạm:

• Quan sát các bất thường xảy ra trong hệ thống. Với cách này, hệ thống sẽ phân tích hàng loạt các đặc tính ban đầu (đặc tính ở trạng thái bình thường) của hệ thống và so sánh với phản ứng (đặc tính sẽ có) của hệ thống tương ứng với các giá trị (hành vi) nhận được. Việc cảnh báo sẽ được tiến hành nếu các đặc tính của hệ thống tính toán ra không phù hợp với đặc tính đã có.

• Quan sát sự bất thường của người sử dụng. Cách này thường dùng để xác định các xâm phạm từ bên trong mạng (bao gồm các thành viên trong mạng và các thành viên đã được xác thực).

• Quan sát một số tiến trình vượt quá mức đặc quyền cho phép. Cách này sẽ xác định các chuỗi lệnh thực thi nào sẽ thi hành các hành động không được phép trong hệ thống. Cách này thông thường được sử dụng để phát hiện dấu vết của virus.

Một mô hình đơn giản của hệ thống IDS như sau:

DIRECTOR có thể coi là trái tim của hệ thống, nó chịu trách nhiệm phân tích các thông tin gửi từ AGENT lên với các thông tin có sẵn trong CSDL, và đưa ra cách xử lý thích hợp cho hệ thống và cấu hình.

AGENT làm nhiệm vụ thu thập tất cả các thông tin như là việc đăng nhập hệ thống, các bản tin… và gửi lên cho DIRECTOR.

Bộ phận cảnh báo chịu trách nhiệm thi hành các hành động cụ thể sau khi phát hiện ra sự xâm phạm trái phép, chẳng hạn như thiết lập lại cấu hình Firewall, loại bỏ các hành động trái phép đó.

Một phần của tài liệu Tìm hiểu và xây dựng hệ thống phát hiện xâm nhập trên mạng IP (Trang 40 - 42)

Tải bản đầy đủ (DOC)

(77 trang)
w