Định nghĩa IDS

Một phần của tài liệu 28019_171220200194527LV (Trang 34 - 36)

CHƯƠNG 2 HỆ THỐNG CẢNH BÁO XÂM NHẬP ID S SNORT

2.1. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

2.1.2. Định nghĩa IDS

Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu thơng

IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một cách hợp lí

để nhận ra những mối nguy hại có thể tấn công. Chúng phát hiện những hoạt động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động

xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những

system call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập. IDS cũng có thể phân biệt giữa những tấn công từ bên trong (những người trong công ty) hay tấn công từ bên ngoài (từ các Hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so sánh lưu

thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

- Tính chính xác (Accuracy): IDS không được coi những hành động

thông thường trong môi trường hệ thống là những hành động bất thường hay

lạm dụng (hành động thông thường bị coi là bất thường được gọi là false

positive).

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện

xâm nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động

xâm nhập trái phép phải được phát hiện trước khi xảy ra tổn thương nghiêm

trọng tới hệ thống).

- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập

trái phép nào (xâm nhập không bị phát hiện gọi là false negative). Đây là một điều kiện khó có thể thỏa mãn được vì gần như khơng thể có tất cả thông tin

về các tấn công từ quá khứ,hiên tại va tương lai.

- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại

- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong

trạng thái xấu nhất là khơng bỏ sót thơng tin. u cầu này có liên quan đến hệ thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị q tải bởi sự tăng trưởng của số lượng sự kiện.

SERVER

IDS

SERVER SERVER SERVER

FIREWALL

SERVER SERVER

FIREWALL IDS SENSOR

STANDORT II STANDORT III

IDS SENSOR

Hình 2.1. Các vị trí đặt IDS

Một phần của tài liệu 28019_171220200194527LV (Trang 34 - 36)

(86 trang)