3. Liên lạc1 Giám sát
1.3 Kết chương
Chương này cung cấp một cái nhìn tổng quan về Hệ thống phát hiện xâm nhập trái phép IDS. Trước tình hình mất an toàn an ninh mạng ngày càng gia tăng đòi hỏi các hệ thống máy tính phải có một chiến lược phòng thủ theo chiều sâu nhiều lớp. Hệ thống IDS là một sự bổ sung cần thiết cho các thiết bị Firewall, có chức năng phát hiện và cảnh báo trước các dấu hiệu tấn công lên hệ thống mạng, giúp cho người quản trị chủ động trong việc ngăn chặn các hành vi xâm nhập trái phép. Hệ thống IDS có thể phân làm 2 loại chính là NIDS và HIDS tùy theo đối tượng mà nó giám sát. Một hệ thống IDS điển hình thường có 3 thành phần là: Sensor, Engine và Console, quá trình phát hiện tấn công theo 5 giai đoạn chính là: Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng. Tính năng chủ động phản ứng lại với các cuộc tấn công có thể bằng các hành động như: Ngắt phiên, ngắt dịch vụ hoặc khóa IP tấn công. Hiện tại đa số các hệ thống IDS phát hiện xâm nhập bằng kỹ thuật dựa trên dấu hiệu. Kỹ thuật này so sánh các dấu hiệu hiện tại với các mẫu tấn công đã có sẵn trong dữ liệu để đánh giá có tấn công hay không. Ưu điểm của phương pháp này là có thể hoạt động ngay lập tức, các cảnh báo đưa ra là chính xác, chuyên gia có thể dễ dàng quản lý và chỉnh sửa tập các dấu hiệu.
Tuy nhiên, vấn đề lớn nhất đối với hệ thống này là vấn đề lưu giữ trạng thái của dấu hiệu trong trường hợp hành vi xâm nhập dàn trải trên nhiều sự kiện rời rạc nhau, ví dụ như một cuộc tấn công kéo dài thực hiện trên rất nhiều gói tin. Thêm vào đó, Hệ thống phát hiện xâm nhập dựa trên dấu hiệu còn có nhược điểm là nó không thể nhìn thấy các cuộc tấn công mới hoặc những tấn công cũ đã được thay đổi do không có dấu hiệu tương ứng trong CSDL. Đồng thời nó cũng phụ thuộc rất lớn vào chuyên gia,
đòi hỏi chuyên gia phải không ngừng cập nhật các mẫu mới. Điều này sẽ là khó khăn đối với một hệ thống mạng lớn, nhiều dịch vụ, trong khi các cuộc tấn công ngày càng đa dạng hơn. Để khắc phục điểm yếu này, người ta sử dụng một kỹ thuật phát hiện xâm nhập mới là Kỹ thuật dựa trên bất thường.
CHƯƠNG 2