Dựa trên kỹ thuật thực hiện, IDS cũng được chia thành 2 loại:
- Signature-based IDS: Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thơng qua phân tích lưu lượng mạng và
nhật ký hệ thống. Kỹ thuật này địi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xun mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới. - Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống
kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao tiếp mạng của server là vào khoảng 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS.
Snort:
Một trong những phần mềm IDS phổ biến hiện nay là Snort . Đây là một sản phẩm NIDS mã nguồn mở với hệ thống signature database (được gọi là rule database) được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồng Internet.
Snort là một ứng dụng IDS hiện đại với ba chức năng chính: nó có thể phục vụ như là một bộ phận lắng nghe gói tin, lưu lại thơng tin gói tin hay là một hệ thống phát hiện xâm nhập mạng (NIDS). Ngồi ra cịn có rất nhiều chương trình add-on cho Snort để có thể quản lý các file log, các tập luật và cảnh báo cho quản trị viên khi phát hiện sự xâm nhập hệ thống. Tuy không phải là phần lõi của Snort nhưng những thành phần này cung cấp rất nhiều tính năng phong phú để có một hệ thống phát hiện và phịng chống xâm nhập tốt.
Có rất nhiều cách để triển khai hệ thống Snort, thông thường Snort chỉ kết hợp với TCP/IP do giao thức này là một giao thức phổ biến của Internet, mặc dù với các phần tùy chỉnh mở rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác, chẳng hạn như Novell’s IPX. Vì vậy, Snort chủ yếu phân tích và cảnh báo trên giao thức TCP/IP.
2.3.2. Ứng dụng hệ thống IDS phát hiện lỗ hổng bảo mật Website
Hệ thống phát hiện xâm nhập IDS có khả năng ứng dụng phát hiện lỗ hổng bảo mật Website dựa trên các dữ liệu thu thập được kết hợp với các kỹ thuật phát hiện tấn công.
(1) Phát hi n t n công d a trên d u hi uệ ấ ự ấ ệ
Phát hiện tấn công dựa trên dấu hiệu là quá trình so sánh các sự kiện giám sát với các dấu hiệu để xác định các nguy cơ có thể là một tấn cơng. Trong đó dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa được biết đến. Ví dụ:
- Một hành động cố gắng truy cập vào hệ thống với username “root” là hành động vi phạm tới chính sách bảo mật của cơng ty, tổ chức.
- Một e-mail với tiêu đề “ Free picture!” và file đính kèm là “freepics.exe” có các đặc điểm được biết đến thường là của phần mềm độc hại.
- Mục ghi log hệ điều hành với mã trạng thái là 645 được biết đến là sự kiểm tra máy trạm đã bị vơ hiệu hóa.
Phát hiện tấn cơng dựa trên dấu hiệu là hữu hiệu để phát hiện các tấn công đã được biết đến và đã được định nghĩa, nhưng sẽ kém hiệu quả với các tấn công chưa được định nghĩa trước đó, hoặc các tấn cơng được che giấu bằng kỹ thuật lẩn tránh, và nhiều biến thể khác của các tấn cơng đã được biết đến. Ví dụ: nếu một kẻ tấn cơng thay đổi hình thức thể hiện trong ví dụ trước sử dụng tên file khác như “freepic2.exe”, và chuỗi tìm kiếm cho “freepics.exe” sẽ khơng trùng khớp.
(2) Phát hi n t n công d a trên b t thệ ấ ự ấ ường
Phương pháp phát hiện dựa trên các bất thường là quá trình so sánh tập các hành động được coi là bình thường và các hành vi được giám sát để xác định sựsai lệch. Nếu phát hiện một sai lệch đủ lớn giữa tập hành vi bình thường và tập hành vi hiện tại, một cảnh báo về nguy cơ tấn cơng hoặc đột nhập có thể được gửi đi.
mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức ... thì hệ thống có dấu hiệu bị tấn cơng.
Hệ thống phát hiện tấn công sử dụng phương pháp phát hiện dựa trên bất thường trước hết xây dựng hồ sơ (profile) miêu tả các hành vi bình thường của người dùng, máy trạm, kết nối mạng hoặc ứng dụng. Hồ sơ này được xây dựng thông qua việc giám sát các hành vi điển hình trong một giai đoạn thời gian. Ví dụ: một hồ sơ cho một mạng có thể chỉ ra hoạt động dịch vụ Web sử dụng trung bình 13% băng thơng mạng trong suốt một ngày làm việc. Hệ thống phát hiện đột nhập sau đó sử dụng phương pháp thống kê để so sánh các đặc trưng của các hành vi hiện tại với một ngưỡng liên quan đến hồ sơ, như phát hiện khi dịch vụ Web sử dụng băng thông lớn hơn đáng kể so với mức sử dụng bình thường ghi trong hồ sơ và cảnh báo người quản trị về bất thường đã phát hiện. Hồ sơ có thể được phát triển cho nhiều thuộc tính hành vi, như số lượng email được gửi bởi một người, số lần đăng nhập sai cho một máy trạm, và mức sử dụng bộ xử lý trên một máy trạm trong một khoảng thời gian.
Lợi ích lớn nhất của phương pháp phát hiện dựa trên sự bất thường là có thể nhận biết những tấn cơng, đột nhập mới hoặc chưa biết. Chẳng hạn một máy tính bị nhiễm một loại phần mềm độc hại mới và phần mềm độc hại này có khả năng sử dụng nhiều tài nguyên của máy tính, gửi một lượng lớn e- mail, thiết lập nhiều kết nối mạng, và thực hiện các hành vi khác, tạo ra sự khác biệt đáng kể với các hồ sơ về các hành vi đã được thiết lập cho máy tính đó.
Một hồ sơ ban đầu được sinh ra trong một khoảng thời gian được gọi là giai đoạn huấn luyện. Hồ sơ cho phát hiện dựa trên sự bất thường có thể tĩnh hoặc động.
Sau khi được tạo ra, một hồ sơ tĩnh không thay đổi được trừ khi hệ thống phát hiện tấn công chỉ định tạo ra một hồ sơ mới. Do hệ thống và mạng thay đổi theo thời gian, tập các hành vi bình thường cũng thay đổi, một hồ sơ tĩnh
sẽ trở lên khơng chính xác, do đó hồ sơ tĩnh cần được tái sinh định kỳ. Hồ sơ động khơng có vấn đề này do hồ sơ động có thể được cập nhật sử dụng các sự kiện được giám sát. Tuy nhiên, chúng nhạy cảm với sự lẩn tránh của những kẻ tấn cơng. Chẳng hạn, một kẻ tấn cơng có thể thực hiện số lượng nhỏ các hành vi độc hại, sau đó tăng dần tần suất và số lượng các hoạt động. Nếu tốc độ thay đổi là đủ chậm, hệ thống có thể nghĩ các hành vi phá hoại này là các hành vi bình thường và đưa vào hồ sơ bình thường.
(3) Phát hi n t n cơng d a trên phân tích tr ng thái giao th cệ ấ ự ạ ứ
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức là một q trình so sánh hồ sơ của các hành vi giao thức tốt cho mỗi trạng thái giao thức với các sự kiện giám sát được để xác định sự sai lệch. Không giống như phương pháp dựa trên sự bất thường là sử dụng hồ sơ của máy trạm hoặc của mạng cụ thể, phương pháp dựa trên trạng thái của giao thức phân tích những phản hồi trên hồ sơ của nhà phát triển cung cấp chung để xác định một giao thức cụ thể nên sử dụng hay không. Thuật ngữ "trạng thái" trong phương pháp này có ý nghĩa là hệ thống phát hiện tấn cơng hiểu biết và có khả năng giám sát trạng thái của mạng, phương tiện và các giao thức ứng dụng. Chẳng hạn khi một người dùng bắt đầu một phiên giao thức trao đổi file (FTP), phiên làm việc sẽ được khởi tạo trong trạng thái không xác thực. Do người dùng chưa được xác thực nên họ chỉ có thể thực hiện một vài câu lệnh trong trạng thái này như là xem các thông tin hỗ trợ hoặc cung cấp tên tài khoản và mật khẩu. Sự quan trọng của việc hiểu trạng thái là sự kết hợp giữa yêu cầu và đáp ứng, như vậy khi một xác thực FTP xuất hiện, hệ thống phát hiện tấn cơng có thể xác định q trình này có thành cơng hay khơng thơng qua mã trạng thái của phản hồi được trả về. Khi người dùng xác thực thành công, phiên làm việc chuyển sang trạng thái đã xác thực và người dùng có thể thực thi các câu lệnh. Việc thực thi các
câu lệnh trong trạng thái khơng được xác thực có thể bị nghi ngờ là tấn công xâm nhập, những thực thi trong trạng thái đã xác thực thì được coi là hợp lệ.
định thứ tự khơng đúng của các câu lệnh, ví dụ phát hành cùng một lệnh liên tục hoặc phát hành một lệnh mà khơng phát hành lệnh mà nó phụ thuộc. Một tính năng khác của theo dõi trạng thái trong phương pháp này là cho các giao thức thực thi có xác thực, hệ thống phát hiện tấn cơng có thể giám sát việc xác thực được dùng cho mỗi phiên, và ghi lại việc xác thực được sử dụng cho các hành động mờ ám. Điều này rất hữu ích để đánh giá một hành động nghi ngờ. Một vài hệ thống phát hiện tấn công có thể sử dụng thơng tin xác thực để định nghĩa các hành động có thể chấp nhận khác nhau của các lớp người dùng hoặc của các người dùng cụ thể.
Trong hình 2.7 dưới đây mơ tả mơ hình ứng dụng hệ thống IDS phát hiện lỗ hổng bảo mật Website.