Công nghệ ngăn chặn xâm nhập IPS

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 37 - 40)

PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN

6. Hệ Thống IDS Và IPS

6.2 IPS (Hệ thống ngăn chặn xâm nhập)

6.2.4 Công nghệ ngăn chặn xâm nhập IPS

- Signature - Based IPS

Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu khơng có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công. Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dị tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng.

- Anomaly-Based IPS

Hình 8. Hệ thống Anomaly-based IPS

Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mơ tả sơ lược phân tích những hoạt động của mạng và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, ngun tắc thơng thường.

Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mơ tả

- Policy-Based IPS

Hình 9. Hệ thống Policy – based IPS

Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều

phương thức được ưa chuộng để ngăn chặn.

- Protocol Analysis-Based IPS.

Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một

hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload.

Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức:

 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không?

 Kiểm tra nội dung trong Payload (pattern matching).

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 37 - 40)

(140 trang)