Mụ hỡnh kiến trỳc phỏt hiện xõm nhập IDS

Một phần của tài liệu một số kỹ thuật và xây dựng mô hình phòng thủ mạng (Trang 55 - 57)

Thành phần thu thập gúi tin.

Thành phần này cú nhiệm vụ lấy tất cả cỏc gúi tin đi đến mạng. Thụng thƣờng cỏc gúi tin cú địa chỉ khụng phải của một card mạng thỡ sẽ bị card mạng đú hủy bỏ nhƣng card mạng của IDS đƣợc đặt ở chế độ thu nhận tất cả. Tất cả cỏc gúi tin qua chỳng đều đƣợc sao chụp, xử lý, phõn tớch đến từng

Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/

trƣờng thụng tin. Bộ phận thu thập gúi tin sẽ đọc thụng tin từng trƣờng trong gúi tin, xỏc định chỳng thuộc kiểu gúi tin nào dịch vụ gỡ… Cỏc thụng tin này sẽ đƣợc chuyển đến thành phần phỏt hiện tấn cụng.

Thành phần phỏt hiện gúi tin.

Ở thành phần này, cỏc bộ cảm biến đúng vai trũ quyết định. Vai trũ của bộ cảm biến là dựng để lọc thụng tin và loại bỏ những thụng tin dữ liệu khụng tƣơng thớch đạt đƣợc từ cỏc sự kiện liờn quan đến hệ thống bảo vệ, vỡ vậy cú thể phỏt hiện đƣợc cỏc hành động đỏng ngờ.

Thành phần phản hồi.

Khi cú dấu hiệu của việc tấn cụng hay xõm nhập, thành phần phỏt hiện tấn cụng sẽ gửi tớn hiệu bỏo hiệu (alert) cú sự tấn cụng hoặc xõm nhập đến thành phần phản ứng. Lỳc đú thành phần phản ứng sẽ kớch hoạt tƣờng lửa thực hiện ngăn chặn cuộc tấn cụng hay cảnh bỏo tới ngƣời quản trị. Dƣới đõy là một số kỹ thuật ngăn chặn:

- Cảnh bỏo thời gian thực:

Gửi cỏc cảnh bỏo thời gian thực đến ngƣời quản trị để họ nắm đƣợc chi tiết cỏc cuộc tấn cụng, cỏc đặc điểm và thụng tin về chỳng.

- Ghi lại vào cỏc tập tin:

Cỏc dữ liệu của cỏc gúi tin sẽ đƣợc lƣu trữ trong hệ thống cỏc tập tin log. Mục đớch là để ngƣời quản trị cú thể theo dừi cỏc luồng thụng tin và là nguồn thụng tin giỳp cho module phỏt hiện tấn cụng hoạt động.

- Ngăn chặn, thay đổi gúi tin:

Khi một gúi tin khớp với dấu hiệu tấn cụng thỡ IDS sẽ phản hồi bằng cỏch xúa bỏ, từ chối hay thay đổi nội dung của gúi tin, làm cho gúi tin trở nờn khụng bỡnh thƣờng.

Phõn loại IDS

Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/

Hệ thống IDS dựa trờn mạng sử dụng nội bộ dũ và cảm biến đƣợc cài đặt trờn toàn mạng. Những bộ dũ này theo dừi trờn mạng nhằm tỡm kiếm những lƣu lƣợng trựng với những mụ tả sơ lƣợc đƣợc định nghĩa hay là những dấu hiệu.

Một phần của tài liệu một số kỹ thuật và xây dựng mô hình phòng thủ mạng (Trang 55 - 57)

Tải bản đầy đủ (PDF)

(81 trang)