- 111 Điều khiển truy nhập dựa trên thẻ bài (token)
5.3.3.2.Phát hiện xâm nhập dựa trên bất thường
Phát hiện xâm nhập dựa trên bất thường dựa trên giả thiết: các hành vi tấn công, xâm nhập thường có quan hệ chặt chẽ với các hành vi bất thường. Quá trình xây dựng và triển
khai một hệ thống phát hiện xâm nhập dựa trên bất thường thường gồm 2 giai đoạn: (1) huấn luyện và (2) phát hiện. Trong giai đoạn huấn luyện, hồ sơ (profile) của đối tượng trong chế độ làm việc bình thường được xây dựng. Để thực hiện giai đoạn huấn luyện, cần giám sát đối tượng trong một khoảng thời gian đủ dài để thu thập được đầy đủ dữ liệu mô tả các hành vi của đối tượng trong điều kiện bình thường làm dữ liệu huấn luyện. Tiếp theo, thực hiện huấn luyện dữ liệu để xây dựng mô hình phát hiện, hay hồ sơ của đối tượng. Trong giai đoạn phát hiện, thực hiện giám sát hành vi hiện tại của hệ thống và cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và các hành vi lưu trong hồ sơ của đối tượng.
Hình 5.22.Giá trị entropy của IP nguồn của các gói tin từ lưu lượng hợp pháp (phần giá trị cao, đều) và entropy của IP nguồn của các gói tin
từ lưu lượng tấn công DDoS (phần giá trị thấp)
Hình 5.22 biểu diễn giá trị entropy của IP nguồn của các gói tin theo cửa sổ trượt từ lưu lượng bình thường và entropy của IP nguồn của các gói tin từ lưu lượng tấn công DDoS. Có thể thấy sự khác biệt rõ nét giữa giá trị entropy của lưu lượng bình thường và lưu lượng tấn công và như vậy nếu một ngưỡng entropy được chọn phù hợp ta hoàn toàn có thể phát hiện sự xuất hiện của cuộc tấn công DDoS dựa trên sự thay đổi đột biến của giá trị entropy.
Ưu điểm của phát hiện xâm nhập dựa trên bất thường là có tiềm năng phát hiện các loại tấn công, xâm nhập mới mà không yêu cầu biết trước thông tin về chúng. Tuy nhiên, phương
- 124 -
pháp này thường có tỷ lệ cảnh báo sai tương đối cao so với phương pháp phát hiện dựa trên chữ ký. Điều này làm giảm khả năng ứng dụng thực tế của phát hiện xâm nhập dựa trên bất thường. Ngoài ra, phương pháp này cũng tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng và phân tích hành vi hiện tại.
5.4. CÂU HỎI ÔN TẬP
1) Nêu khái niệm, các thành phần và mục đích của điều khiển truy nhập.
2) Nêu cơ chế hoạt động của mô hình (biện pháp) điều khiển truy nhập tùy chọn (DAC). 3) Nêu cơ chế hoạt động của mô hình (biện pháp) điều khiển truy nhập bắt buộc (MAC). 4) Nêu cơ chế hoạt động của mô hình (biện pháp) điều khiển truy nhập dựa trên vai trò
(RBAC).
5) Nêu cơ chế hoạt động của mô hình (biện pháp) điều khiển truy nhập dựa trên luật (Rule- based access control).
6) So sánh 2 kỹ thuật thực hiện mô hình điều khiển truy nhập tùy chọn (DAC): ma trận điều khiển truy nhập và danh sách điều khiển truy nhập.
7) Mô tả cơ chế hoạt động của mô hình bảo mật đa cấp Bell-LaPadula. 8) Mô tả công nghệ điều khiển truy nhập dựa trên mật khẩu.
9) Trong các công nghệ điều khiển truy nhập: dựa trên mật khẩu, khóa mã, thẻ thông minh, thẻ bài và các đặc điểm sinh trắc, công nghệ nào có khả năng cho độ bảo mật cao nhất? Tại sao?
10)Tường lửa là gì? Nêu vai trò của tường lửa. Nêu các phương pháp phân loại tường lửa. 11)Nêu các kỹ thuật kiểm soát truy nhập và các hạn chế của tường lửa.
12)Các hệ thống IDS/IPS là gì? Nêu các nhiệm vụ chính của IDS/IPS. IDS và IPS giống và khác nhau ở những điểm nào?
13)Nêu các phương pháp phân loại IDS/IPS. Có thể sử dụng kết hợp NIDS và HIDS trong cùng một hệ thống mạng được không?
14) Mô tả phương pháp phát hiện xâm nhập dựa trên chữ ký. Nêu ưu nhược điểm của phương pháp này. Tại sao phát hiện xâm nhập dựa trên chữ ký không có khả năng phát hiện các tấn công xâm nhập mới?
15)Mô tả phương pháp phát hiện xâm nhập dựa trên bất thường. Nêu ưu nhược điểm của phương pháp này.
16)Tại sao phát hiện xâm nhập dựa trên bất thường có khả năng phát hiện các tấn công xâm nhập mới? Tại sao phát hiện xâm nhập dựa trên bất thường thường có tỷ lệ cảnh báo sai cao hơn phát hiện xâm nhập dựa trên chữ ký?
- 125 -