2. Tại sao phải sử dụng IDS
2.6. Lập tài liệu về các nguy cơ có thể xảy ra với hệ thống
Sử dụng hệ thống IDS có thể giúp cho ta chứng minh được rằng là mạng đang bị tấn công hay thực ra là đã bị tấn công. Biết được tần xuất và đặc điểm của các cuộc tấn công có thể giúp bạn hiểu được với mức độ an ninh nào thì là phù hợp cho việc bảo vệ hệ thống của mình.
IDS có thể kiểm tra ghi lại và phân tích các nguy cơ từ cả bên ngoài và bên trong hệ thống mạng của tổ chức. Việc này giúp bạn đưa ra những quyết định sáng suốt chú ý tới việc sắp đặt các tài nguyên an ninh máy tính. Sử dụng IDS theo cách này là rất quan trọng, nhiều người đã sai lầm là bất cứ ai (bên trong hoặc ben ngoài hệ thống) cũng có hứng thú với việc đột nhập vào hệ thống mạng của họ. Những thông tin do IDS cung cấp về nguòn gốc và loại tấn công sẽ giúp bạn có những quyết định đúng trong việc vạch ra những kế hoạch về các chính sách an ninh có sự chứng minh rõ ràng chứ không chỉ lả suy đoán.
2. Phân loại các hệ thống IDS chính
Hiện nay có rất nhiều loại IDS, chúng được phân loại theo các tiêu chí khác nhau về việc giám sát, phân tích. Mỗi cách phân loại đều có những ưu điểm và nhược điểm. Một số cách phân loại chính như theo
• Nguồn gốc thông tin.
• Cách phân tích.
• Hành vi phản ứng.
Ở đây em xin trình bày theo cách phân loại về nguồn gốc thông tin. Có nhiều nguồn thông tin sự kiện khác nhau để nhằm xác định sự xâm nhập. Một vài hệ thống IDS phân tích các gói tin trong mạng mà nó bắt được từ đường trục chính của mạng(BackBone) hoặc các phân đoạn mạng(Segment network) trong nối mạng để tìm ra các kẻ tấn công. Một số hệ thống IDS khác thì lại dựa trên các thông tin sinh ra bởi hệ điều hành hoặc các ứng dụng để tìm ra các dấu hiệu của việc xâm nhập.
3.1. Network Based IDS (NIDS )
Theo cách này thì các thông tin hệ thống dùng để làm viêc là dựa vào các thông tin trên mạng. Hệ thống phát hiện ra các cuộc tấn công bằng cách bắt các gói tin trên mạng hoặc các phân đoạn mạng rồi phân tích. để tìm ra các dấu hiệu của các cuộc tấn công.
Hệ thống NIDS thường bao gồm một tập các bộ cảm biến đơn nhiệm hoặc các máy trạm được đặt tại nhiều điểm khác nhau trên mạng. Chúng sẽ giám sát giao thông trên mạng, thực hiện phân tích cục bộ các giao thông đó và báo cáo về một đơn vị quản trị trung tâm nếu có những dấu hiệu của một cuộc tấn công. Khi các bộ cảm biến này bị giới hạn để chạy IDS thì nó cũng rất dễ dàng bảo vệ chống lại các cuộc tấn công. Rất nhiều bộ cảm biến này được thiết kế để hoạt động tại chế độ ản (Stealth mode) điều này làm cho kẻ tấn công khó nhận ra được sự hiện diện của các thiết bị này.
3.1.1. Ưu điểm của hệ thống NIDS
• Chỉ cần một vài vị trí đặt các bộ cảm ứng tốt thì có thể giám sát toàn bộ cả hệ thống mạng lớn.
• Việc thiết lâp một hệ thống NIDS ít gây ra ảnh hưởng với mạng đang tồn tại. Chúng thường là các thiết bị thụ động chỉ lắng nghe trên mạng thoi chứ không ảnh hưởng đến các hoạt động bình thường của mạng. Thêm nữa nó lại rất dễ dàng trong việc trang bị cho hệ thống an ninh của một mạng máy tính.
• NIDS có thể chống lại các cuộc tấn công một cách có hiệu quả trong khi nó lại rất khó bị phát hiện của các kẻ tấn công.
3.1.2. Nhược điểm của hệ thống NIDS
• Nó có thể gặp khó khăn trong việc phân tích toàn bộ các gói tin trong một hệ thống mạng lớn hoặc mạng đang trong giờ cao điểm. Do đó nó có hể nhận lầm cá dấu hiệu của một cuộc tấn công trnog suốt khoảng thời gian mà lưu lượng sử dụng mạng tăng cao. Một vài nhà sản suất đã cố gắng khắc phục điều này bằng cách xây dựng các thiết bị NIDS bằng phần cứng giúp chúng có thể chạy nhanh hơn rất nhiều. Sự cần thiế của việc phân tích nhanh buộc các nhà sản suất phải đáp ứng được yêu cầu là phân tích nhanh nhưng lại tốn ít tài nguyên của hệ thống đến thấp nhất có thể.
• Hầu hết các ưu điểm của NIDS lại không thể áp dụng vào mô hình mạng dựa trên các chuyển mạch( Switch based network). Các Switch chi các mạng ra thành các phân đoạn mạng nhỏ hơn và nó cung cấp các đường kết nối dành sẵn cho các trạm mà nó phục vụ. Hầu hết các Switch đều không cung cấp cổng đểgiám sát mọi cổng( các gói tin từ các cổng khác đều được gửi đến cổng này). Điều này làm giảm khoảng giám sát của các bộ cảm biến đến các máy trạm riêng biệt. Ngay cả khi các Switch có cá cổng phục vị cho việc giám sát thì chúng cũng không thể được cung cấp hết toàn bộ giao thông lưu chuyển qua Switch đó.
• NIDS không thể phân tích các thông tin đã bị mã hoá. Vấn đề này sẽ trở nên nghiêm trọng hơn rong các tổ chức sử dụng mạng riêng ảo (VPN- Virtual Private Network).
• Hầu hết các NIDS đều không thể nói chính xác một cuộc tấn công đã được tiến hành thành công hay chưa. Nó chỉ có thể nhận ra một cuộc tấn công đã được bắt đầu. Điều này có nghĩa là sau khi hệ thống NODS phát hiện ra cuộc tấn công thì nhà quản trị phải tự mình kiểm tra xem các máy trạm đã bị tấn công để xác định rằng thực tế nó đã bị thâm nhập chưa.
• Một vài hệ thống NIDS có vấn đề với các cuộc tấn công vào mạng sử dụng các gói tin phân đoạn. Những gói tin kiểu này sẽ làm cho hệ thống NIDS bị vô hiệu.
3.2. Host based IDS (HIDS)
HIDS hoạt động dựa trên các thông tin sưu tập được tại một máy tính cá nhân. Điểm lợi thế này cho phép hệ thống HIDS phân tích các hoạt động một cách chính xác và tin cậy hơn. Xác định chính xác tiến trình nào, người dùng nào được triệu gọi trong một cuộc tấn công trên hệ điều hành. Hơn nữa không giõng như hệ thống NIDS HIDS có thể nhìn thấy các hậu quả của việc thử tấn công. Vì nó có thể trực
tiếp truy cập và giám sát hệ thống file và các tiến trình hệ thống- đây là một trong các mục tiêu thường bị tấn công.
HIDS thường tận dùng các thông tin từ hai nguồn là vết kiểm định các hoạt động của hệ điều hành( Operating system audit trail) và các lưu ghi chú của hệ thống(System log). Operating system audit trail được sinh ra tại phần trong cùng của hệ điều hành nên nó chi tiết và an toàn hơn system log. Tất nhiên System log sẽ ít chi tiết hơn,nhỏ hơn.
Một vài hệ thống HIDS được thiết kế để hỗ trợ quản trị IDS tập trung, Nó có thể cho phép một trạm quản trị giám sát nhiều máy trạm. Các thông tin đựợc sinh ra có định dạng phù hợp với hệ thống quản trị mạng.
3.2.1. Ưu điểm của hệ thống HIDS
• Nó có khả năng giám sát các sự kiện cục bộ trên một máy trạm và có thể phát hiện ra những cuộc tấn công mà hệ thống NIDS không thể phát hiện ra.
• Nó có thể hoạt động tốt trên môi trường mà các thông tin trên mạng được mã hoá vì những thông tin nó thu thập được là trước khi thông tin đó được mã hoá và truyền đi tại nguồn, và sau khi thông tinđã đựoc giải mã tại đích.
• HIDS không bị ảnh hưởng khi mô hình mạng là mạng chuyển mạch(Switch network).
• Khi HIDS hoạt động trên các thông tin ghi lại của hệ điều hành thì nó có thể giúp phát hiện ra những Trojan Horse hoặc những cuộc tấn công dùng những phần mềm vi phạm tính nguyên vẹn (intergrity breaches ). Nó sẽ xuất hiện như là các tiến trình mâu thuẫn(inconsistencies process).
3.2.2. Nhược điểm của Hệ thống HIDS
• Nó khó quản lý và các thông tin cấu hình phải được cấu hình trên mọi máy trạm được giám sát.
• Do nguồn thông tin là ít nhất lại nằm trên máy trạmcanf bảo vệ. Hệ thống HIDS có thể bị tấn công và vô hiệu hoá.
• HIDS không phù hợp trong việc chống lại cá cuộc tấn công dựa trên việc quét mạng(network scans) vì nó chỉ nhận và phân tích các gói tin mà đựoc máy trạm đó nhận.
• HIDS có thể bị vô hiệu hoá bằng những cuộc tấn công từ chối dịch vụ( Deny of service -DOS)
• Khi HIDS sử dụng nguồn thông tin từ các vết kiểm định của hệ điều hành thì lượng thông tin sử dụng có thể rất lớn yêu cầu phải thêm việc lưu trữ cục bộ trong hệ thống.
• HIDS cũng sử dụng các tài nguyên của chính máy trạm mà nó giám sát nên hiệu năng của máy trạm đó cũng phải giảm đi là điều không tránh khỏi.
3.3. Application Based IDS (AIDS)
AIDS là một tập con đặc biệt các HIDS, nó phân tích các thông tin, sự kiện được cung cấp bởi các phần mềm ứng dụng. Hầu hết các thông tin này đều được lấy từ các bản ghi các giao dịch của các phần mềm ứng dụng(application’s transaction log files).
Khả năng ghép nối(Interface) trực tiếp với các ứng dụng, với phạm vi hiệu quả,hoặc hiểu biết sâu về ứng dụng đựoc bao gồm trong bộ máy phân tích. Cho phép AIDS có thể phát hiện được các hành vi khả nghi mà những người sử dụng dùng để vượi quá quyền hạn của mình bởi vì các vấn đề như vậy thường xuất hiện dưới dạng những tương tác giữa người dùng dữ liệu và ứng dụng.
3.3.1. Ưu điểm của hệ thống AIDS
• Hệ thống AIDS có thể giám sát những tương tác giữa người dùng, dữ liệu và ứng dụng nên cho phép nó có thể lần ra những dấu vết của những hành động bất hợp pháp.
• Hệ thống này có thể làm việc trong môi trường có sự mã hoá vì nó làm việc với các ứng dụng tại thời điểm các thông tin đã được giải mã.
3.3.2. Nhược điểm của hệ thống AIDS
• Nó có thể dễ dàng bị tấn công hơn là hệ thống HIDS vì các thông tin được ghi lại bởi các ứng dụng (application log) không được bảo vệ tốt như các thông tin được ghi lại của hệ thống(System log).
• Do hệ thống AIDS thường giám sát những sự kiện tại cấp độ người sử dụng một cách trừu tượng nên không thể phát hiện ra những vius như Trojan do đó nên sử dụng AIDS kết hợp với HIDS hoặc NIDS.
3.4. Sử dụng kết hợp HIDS và NIDS
Hai kiểu hệ thống phát hiện xâm nhập khác một cách đáng kể, nhưng có sự bổ sung lẫn cho nhau rất tốt. Kiến trúc mạng host-based là agent-based có nghĩa rằng một agent nằm trên mỗi host sẽ được điều khiển bởi hệ thống. Ngoài ra, những hệ thống phát hiện xâm nhập host-based hiệu quả hơn có khả năng giám sát và thu thập thông tin trong thời gian thực theo kế hoạch định trước, như vậy phân phối cả sự sử dụng CPU lẫn cung cấp một phương tiện linh hoạt cho quản trị.
Khi sử dụng IDS thích hợp, tích hợp hoàn toàn hệ thống phát hiện xâm nhập mạng sẽ rất ích lợi, như là lọc những báo động và những thông báo theo cách đồng nhất đến phần host-based của hệ thống, kiểm soát từ cùng vị trí trung tâm. Làm như vậy cung cấp một phương tiện hữu hiệu để quản lí và phản ứng lại tới sự dùng sai cả hai kiểu sự dò tìm xâm nhập.
Khi một tổ chức đưa một IDS vào trong mạng để làm tăng chiến lược an toàn thông tin hiện thời, điểm đầu tiên nhắm vào của hệ thống phát hiện xâm nhập cần phải là host-based. Mặc dầu vấn đề phát hiện xâm nhập mạng có những giá trị của nó và chắc chắn phải được hợp nhất vào trong một giải pháp IDS thích hợp, nó đã được phát triển để tuân theo với công nghệ truyền thông dữ liệu đang gia tăng. Đa số các NIDS thực hiện rất tồi, trên những mạng chuyển mạch, những mạng nhanh với những tốc độ trên 100 Mbps, và những mạng mã hóa. Hơn nữa, trong phạm vi 80-85 phần trăm vấn đề an ninh bắt nguồn từ bên trong tổ chức. Vậy thì, những hệ thống phát hiện xâm nhập cần phải tin cậy chiếm ưu thế trên host-based, nhưng cần phải luôn
luôn sử dụng NIDS để hoàn thiện sự phòng thủ. Một cách ngắn gọn, một môi trường an toàn thực sự yêu cầu cả một mạng sử dụng NIDS lẫn sự sử dụng HIDS để cung cấp cho một hệ thống mà là cơ sở cho tất cả bộ kiểm tra, đáp lại, và phát hiện sự dùng sai máy tính.
2. Các kỹ thuật phân tích của các hệ thống IDS
Có hai kỹ thuật chính khi phân tích các sự kiện để phát hiện ra những cuộc tấn công. Đó là phát hiện sự lạm dụng(Misuse detection) và phát hiện sự bất thường(Anomaly Detection). Với phát hiện sự lạm dụng thì mục tiêu phân tích là những điều mà cho là không tốt, đây là những kỹ thuật thường được dùng trong các sản phẩm thương mại. Với phát hiện sự bất thường thì lại tìm kiếm những hành động bất thường theo mẫu. Với mỗi sự tiếp cận thì lại có những ưu điểm và nhược điểm riêng.
2.1. Phát hiện sự lạm dụng(Misuse detection)
Theo cách này thì chương trình sẽ phân tích hành động của hệ thống, tìm kiếm những hành động hoặc tập những hành động theo những mẫu hành động đã đượcc định nghĩa trước. Những hành động mẫu này đều đại diện cho những kiểu tấn công đã được biết trước. Những mẫu tương ứng với kiểu tấn công đã được biết trước thì gọi là những dấu hiệu(Signature), do đó đôi khi phát hiện sự lạm dụng còn được gọi là phát hiện dựa trên những dấu hiệu (Signature based Detection). Hầu hết các sản phẩm thương mại đều sử dụng phương pháp này. Và mỗi mẫu sự kiện tương ứng với một kiểu tấn công được coi là các mẫu riêng biệt.
2.1.1. Ưu điểm
• Kỹ thuật này rất hiệu quả trong việc phát hiện ra những cuộc tấn công một cách chính xác. Không có nhiều cảnh báo sai.
• Nó có thể phát hiện nhanh chóng và tin cậy khi việc tấn công sử dụng những bộ công cụ hoặc những kỹ thuật chuyên biệt.
• Người quản trị không cần phải có kiến thức, hiểu biết sâu về vấn đề an ninh.
2.1.2. Nhược điểm.
• Sử dụng kỹ thuật này thì chỉ phát hiện được những kiểu tấn công mà đã có mẫu được biết rồi. Còn những cuộc tấn công không nằm trong số các mẫu đã đựoc biết thì chương trình không phát hiện được. Vì vậy phải thường xuyên cập nhập các mẫu mới.
• Rất nhiều chương trình đựoc thiết kế chặt chẽ để sử dụng chĩnh xác các dấu hiệu vì vậy có thể nó sẽ không phát hiện được những cuộc tấn công đó khi chúng có một chút thay đổi.
2.2. Phát hiện sự bất thường(Anomaly Detection)
Kỹ thuạt này nhằm chỉ ra những hành vi được coi là không bình thường trong một máy trạm hoặc cả hệ thống. Chức năng này được giả sử rằng là các cuộc tấn công đều có những hành động khác với bình thường( bất thường). Vì vậy hệ thống có thể phát hiện ra những cuộc tấn công này dựa vào việc phát hiện ra những hành vi khác thường của nó. Kỹ thuật này xây dựng một bản mô tả những hành động được
coi là bình thường của các máy trạm, người dùng và cả các kết nối trong hệ thống. Những bản mô tả này được xây dựng trong một khoảng thời gian mà hệ thống hoạt động bình thường. Bộ phận phát hiện sau đó thu thập các dữ liệu về các hành vi trong hệ thống và sử dụng nhiều thước đo khác nhau trong việc xác định đâu là các hành vi bất thường. Các kỹ thuật và thước đo hay được dùng bao gồm:
• Phát hiện ngưỡng(Threshold Detection), trong đó những thuộc tính của các hành vi vủa người dùng hoặc hệ thống được biểu diễn rõ ràng về số lượng. Với một vài cấp độ có thể chấp nhận được. Các thuộc tính như vậy có thể là số lần truy nhập file của người dùng trong một khoảng thời gian cho trước. Số