Các cơ chế phát hiện xâm nhập

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 31 - 33)

PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN

6. Hệ Thống IDS Và IPS

6.1 IDS (Hệ thống phát hiện xâm nhập)

6.1.3 Các cơ chế phát hiện xâm nhập

Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát hiện xâm nhập. Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển

động của đầu dò. Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering

mechanism):

- Phát hiện sự sử dụng sai (dựa trên những dấu hiệu)

Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu

(signature-based detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu

(signature) để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử

dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu hiệu trong những phần mềm diệt virus.

Ưu Điểm Nhược Điểm

- Có ít cảnh báo nhầm hơn kiểu phát hiện sự bất thường.

- Không theo dõi những mẫu lưu

lượng hay tìm kiếm những sự bất thường.

- Theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng. - Dễ hiểu cũng như dễ định dạng

hơn những hệ thống phát hiện sự bất

- Không phát hiện những cuộc tấn công mới hay chưa được biết.

- Không phát hiện những sự thay đổi của những cuộc tấn công đã biết.

- Khả năng quản trị cơ sở dữ liệu những dấu hiệu là cơng việc mất nhiều thời gian cũng như khó khăn.

- Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu trong bộ nhớ để tìm lại nhanh hơn, nhưng mà

- Phát hiện sự khơng bình thường (dựa trên mơ tả sơ lược)

Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường.

Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mơ tả sơ lược nhóm người dùng (user group profiles). Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông

thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì

họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.

Ưu Điểm Nhược Điểm

- Kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào khơng phát sinh cảnh báo bởi vì họ khơng có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công.

- Không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết.

- Thời gian chuẩn bị ban đầu cao. - Khơng có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.

- Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.

- Khó khăn trong việc định nghĩa cách hành động thông thường.

- Cảnh báo nhầm - Chọn lựa giữa NIDS và HIDS

Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và

HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh

nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN.

Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện

cài đặt phần mềm trên các máy chủ chính mà cịn phải cài đặt trên tất cả các

máy khách. Khơng có lý do nào giải thích tại sao cả NIDS và HIDS không

được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vơ

hiệu hóa đối với kẻ xâm nhập. Rõ ràng cài đặt nhiều nút phát hiện trên mạng bằng HIDS an tồn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ cho một đoạn mạng.

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 31 - 33)

(140 trang)