Các cơ chế phát hiện xâm nhập

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 31 - 33)

6. Hệ Thống IDS Và IPS

6.1.3 Các cơ chế phát hiện xâm nhập

Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát hiện xâm nhập. Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển động của đầu dò. Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering mechanism):

- Phát hiện sự sử dụng sai (dựa trên những dấu hiệu)

Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu

(signature-based detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu (signature) để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử

dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu

hiệu trong những phần mềm diệt virus.

Ưu Điểm Nhược Điểm

- Có ít cảnh báo nhầm hơn kiểu phát

hiện sự bất thường.

- Không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường.

- Theo dõi những hoạt động đơn

giản để tìm sự tương xứng đối với bất

kỳ dấu hiệu nào đã được định dạng.

- Dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất

- Không phát hiện những cuộc tấn

công mới hay chưa được biết.

- Không phát hiện những sự thay đổi

của những cuộc tấn công đã biết.

- Khả năng quản trị cơ sở dữ liệu

những dấu hiệu là công việc mất nhiều

thời gian cũng như khó khăn.

- Giống như tường lửa , bộ cảm biến

phải duy trì trạng thái dữ liệu trong bộ

- Phát hiện sự không bình thường (dựa trên mô tả sơ lược)

Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát.

Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo

mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường.

Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường

bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.

Ưu Điểm Nhược Điểm

- Kẻ xâm nhập không bao giờ biết

lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền

truy cập vào những profile sử dụng để

phát hiện những cuộc tấn công.

- Không dựa trên một tập những dấu

hiệu đã được định dạng hay những đợt

tấn công đã được biết.

- Thời gian chuẩn bị ban đầu cao.

- Không có sự bảo vệ trong suốt thời

gian khởi tạo ban đầu.

- Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.

- Khó khăn trong việc định nghĩa cách hành động thông thường.

- Cảnh báo nhầm

- Chọn lựa giữa NIDS và HIDS

Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và

HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN.

Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện

cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không

được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập. Rõ ràng cài đặt nhiều nút phát hiện trên mạng bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 31 - 33)

(140 trang)