Virus là một đoạn mã chương trình được tạo ra mà có khả năng tự nhân bản, tương tự như sự nhân bản của sinh vật. Gần đây, worm và virus phát tán mạnh:
• Nếu một đoạn code có hại tự động phát tán và nhân bản sang hệ thống khác mà không có sự can thiệp của con người, nó gọi là xâu.
• Nếu một đoạn code có hại phát tán sang hệ thống khác, nhưng cần sự can thiệp của con người, thì nó gọi là virus.
• Cơ sở để phân biệt giữa xâu và virus là đoạn code có hại đó yêu cầu thao tác để kích hoạt chúng hay chúng tự động chạy. Chúng có một số cơ chế lây nhiễm khác nhau. Ví dụ, xâu Nimda có một số cơ chế lây nhiễm:
- Cơ chế lây nhiễm kiểu virus bằng việc tìm gửi e-mail tới những địa chỉ e-mail trong hệ thống bị lây nhiễm.
- Cơ chế lây nhiễm kiểu xâu bằng việc quét tài nguyên mạng được chia sẻ nhưng không được bảo vệ và tự sao tới tài nguyên đó. - Cơ chế lây nhiễm kiểu xâu bằng việc quét và lây nhiễm server IIS không được bảo vệ.
- Cơ chế lây nhiếm kiểu virus bằng việc lây nhiễm những file cục bộ và trên mạng trên hệ thống bị nhiễm virus; nó cũng chia sẻ tài nguyên mạng mà không có cơ chế bảo vệ.
Một số loại virus gần đây như “I Love You” và “SoBig” được nhân bản thông qua gửi kèm e-mail. Một số loại xâu như “Code Red”, “Slammer”, và “Blaster”, chúng quét và lây lan sang hệ thống khác theo kiểu tác động chuỗi.
Cho tới bây giờ, những tác hại do xâu và virus gây ra là rất lớn:
• Cài đặt phần mềm back-door để điều khiển hệ thống từ xa.
• Cài đặt công cụ e-mail phục vụ spam.
• Xóa các web sites.
• Chỉ đạo tấn công từ chối dịch vụ nhắm tới một mục tiêu nào đó.
• Làm tắc nghẽn băng thông internet.
• Trong tương lai xâu nguy hiểm hơn bởi lý do sau:
• Làm sai lệch hoặc xóa dữ liệu trên hệ thống. Biện pháp tốt nhất là thường xuyên sao lưu dữ liệu.
• Một số phần mềm có thể làm tồn hại phần cứng. Xâu có thể làm tăng tốc màn hình và làm hỏng nó, ghê gớm hơn là có thể xóa BIOS của hệ thống
• Làm cơ sở cho việc phát triển DDOS tấn công các mục tiêu.
• Thúc đẩy hoạt động tình báo, bao gồm thương mại và quân sự.
• Lấy trộm thông tin cá nhân, ví dụ như số thẻ tín dụng, số thẻ phúc lợi xã hội, hoặc thông tin cá nhân có giá trị khác.
1.6. Tcpdump
Tcpdump có thể xem là IDS đầu tiên. Chúng được phát triển từ năm 1991. Nó là ứng dụng hiện thị được traffic mạng. Ngày nay, Các dòng sản phẩm IDS vẫn sử dụng thêm định dạng kiểu tcpdump, nó cung cấp định dạng chuẩn để bắt và lưu trữ các traffic mạng. Vì tất cả hệ thống IDS đều hỗ trợ định dạng file tcpdump, nó rất có ích khi thực hiện công nghệ IDS. Một file được bắt trên đường truyền bởi tcpdump có thể chạy với rất nhiều hệ thống IDS để đối chiếu so sánh khả năng của các sản phẩm.
Tcpdump nguồn gốc phát triển bởi nhóm nghiên cứu mạng tại Phòng thí nghiệm quốc gia Lawrence Berkeley, Ở đây chúng ta chỉ xem xét qua về
Tcpdump. Để có thể tìm hiểu đầy đủ Tcpdump tham khảo tại địa chỉ www.tcpdump.org.
2. Kiến trúc
Tổng quan: Hệ thống Intrusion detection tối thiểu chỉ yêu cầu một chương trình hoặc một thiết bị. Ví dụ cài đặt firewall cá nhân với intrusion detection và khả năng xem xét địa chỉ IP nguồn trên hệ thống. Hệ thống này là phù hợp cho mục đích (ví dụ như home hoặc cho kiểm IDS cụ thể), Việc phát triển các hệ thống đơn là không phù hợp đối với một số tổ chức, ví dụ như tập đoàn toàn cầu, cơ quan chính phủ, và quân đội. Những tổ chức này sử dụng hệ thống phức tạp hơn để thực hiện chức năng intrusion-detection phức tạp. Sự liên kết giữa các thiết bị máy móc, các ứng dụng, các quá trình, các thành phần bao gồm quy tắc truyền thông giữa chúng, được gọi là kiến trúc. Trong hầu hết các trường hợp, kiến trúc
instrution-detection là một kiến trúc trong đó mọi thành phần gắn bó với nhau. Kiến trúc là một phần quan trọng trong instrution detection. Một kiến trúc có hiệu quả là kiến trúc mà các máy móc, thiết bị, thành phần, và các quá trình thực hiện tốt các vai trò và xử lý ngang hàng nhau.
Phần này trình bày kiến trúc IDS xem xét từng mô hình, cách thức triển khai các server, các sensor và các agent. Chức năng của các sensor, agent và các vai trò chức năng của trình quản lý console trong kiến trúc IDS.