4.2 .1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS
2. Giao diện quản lý:
4.3 Công nghệ ngăn chặn xâm nhập IPS
4.3.1 Signature-Based IPS (Nhận diện dấu hiệu)
Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dị tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu khơng có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn
Hình - Một Signature based IDS
- Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, IPS đi lên từ nền tảng của IDS và cách thức phát hiện các đợt tấn công cũng tương tự nhau.
Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads.
Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong một ngữ cảnh nào đó.
Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu.
Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ.
Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng. Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.
Lợi ích của việc dùng Signature-Based IPS
Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn cơng đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện
sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất
thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng.
Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường. File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiêu cảnh báo. Người quản trị bảo mật có thể có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào khơng.
Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.
Những hạn chế của Signature-Based IPS
Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead. Đây là những hạn chế:
Khơng có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn cơng để nó có thể nhận ra đợt tấn cơng đó. Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ khơng bị phát hiện.
Khơng có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những file dấu hiệu là những file tĩnh tức là chúng khơng thích nghi với một vài hệ thống dựa trên sự bất thường. Bằng cách thay đổi cách tấn cơng, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative).
Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời gian cũng như khó khăn.
Những bộ bộ cảm biến phải duy trì tình trạng thơng tin : Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn.