Hoạt động của IDS

Một phần của tài liệu an toàn trong báo hiệu sip (Trang 75 - 76)

a .Tấn công do th́m

c. Hoạt động của IDS

Phân tích cấu trúc thơng tin trong các gói tin. Tất cả các gói tin qua Card mạng (NIC) của máy giám sát đều được copy lại và chuyển lên lớp trên. Bộ phân tích gói đọc thơng tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì, sau đó dùng phương pháp dị tìm kể trên để phát hiện tấn cơng.

i. Giám sát File (tệp) bản ghi

Đây là phần cơ bản nhất của IDS, chúng cố gắng dị tìm cấu trúc bằng hệ thống và phân tích trong trường hợp bản ghi. Một bộ giám sát file bản ghi cơ bản có thể tìm một kẻ truy cập bất hợp pháp. Công nghệ này bị hạn chế ở việc chỉ dị tìm các trường hợp bản ghi, cái mà những kẻ tấn cơng có thể dễ dàng thay đổi.

ii. Điều khiển toàn cục

Một bộ điều khiển toàn cục sẽ theo dõi sự thay đổi cấu trúc hệ thống khóa. Ví dụ, một bộ điều khiển toàn cục sử dụng hệ thống file hoặc các khóa đăng ký để theo dõi sự thay đổi của một kẻ xâm phạm bất hợp pháp. Mặc dù bị hạn chế, các bộ điều khiển tồn cục có thể thêm một tầng bảo vệ phụ để tạo nên một dạng khác của dị tìm.

Bộ điều khiển tồn cụ phổ biến nhất là Tripwire. Tripwire tồn tại cả ở Window và Unix, và có thể giám sát một số các thuộc tính gồm:

• Thêm, xóa và thay đổi file.

• Cờ file ( thí dụ như: ẩn, chi đọc, lưu trữ …).

• Thời gian truy nhập cuối cùng.

• Thời gian viết cuối cùng.

• Thời gian tạo.

• Kích cỡ file.

Tripwire có thể là một biến tùy chọn đối với từng đặc trưng riêng của mạng. Thực tế, bạn có thể sử dụng Tripwire để điều khiển bất cứ sự thay đổi nào của hệ thống. Vì vậy, nó là một cơng cụ mạnh trong tập hợp IDS.

iii. Dò dấu hiệu

Cũng giống như các bộ quét virut hex-signature (kí hiệu hệ hexa) truyền thống, cố gắng chủ yếu của IDSs là tiêu diệt loại tấn công dựa trên cơ sở dữ liệu đã biết (dấu hiệu- signature) . Phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu (Signature Detection). Khi một kẻ tấn công cố gắng khai thác theo cách đã làm, IDS cố gắng thăm dị lại cơ sở dữ liệu của nó.

Kiểu phát hiện tấn cơng này có ưu điểm là phát hiện các cuộc tấn cơng nhanh và chính xác, khơng đưa ra các cảnh báo sai làm giảm khả năng họat động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là khơng phát hiện được các các cuộc tấn cơng khơng có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.

Một phần của tài liệu an toàn trong báo hiệu sip (Trang 75 - 76)

Tải bản đầy đủ (DOC)

(119 trang)
w