Chữ ký và các kỹ thuật xử lý

Một phần của tài liệu nghiên cứu, ứng dụng hệ thống phát hiện xâm nhập (Trang 83 - 88)

III. HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 1 Định nghĩa IPS

7.Chữ ký và các kỹ thuật xử lý

Chữ ký là một tập các quy tắc mà một IDS và một IPS sử dụng để phát hiện điển hình hoạt động xâm nhập, như các cuộc tấn công DoS. Có thể dễ dàng cài đặt chữ ký bằng cách sử dụng phần mềm quản lý IDS và IPS như Cisco IDM,SDM và có thể dễ dàng chỉnh sữa hoặc có thể tạo mới.

Giống như bộ cảm biến quét các packet, IOS IPS sử dụng chữ ký để phát hiện các cuộc tấn công đã biết và phản ứng với hành động được xác định trước. Một luồng gói độc hại có một loại cụ thể của hoạt động và chữ ký, và một bộ cảm biến IDS hoặc IPS kiểm tra dữ liệu lưu lượng sử dụng chữ ký khác nhau. Khi một IDS hoặc IPS cảm biến phù hợp với một chữ ký với lưu lượng dữ liệu, cảm biến sẽ hành động, chẳng hạn như sự kiện đăng nhập hoặc gửi báo động để IDS hoặc phần mềm quản lý IPS, chẳng hạn như SDM của Cisco.

Chữ kí dựa trên phát hiện xâm nhập có thể đưa ra một cảnh báo sai bởi vì một số mạng lưới hoạt động bình thường có thể được hiểu sai như hoạt động độc hại. Ví dụ, một số ứng dụng mạng hoặc hệ điều hành có thể gửi nhiều thông điệp Internet Control Message Protocol (ICMP) , có một chữ ký trên cơ sở phát hiện hệ thống có thể giải thích như một nỗ lực của kẻ tấn công để vẽ ra một phân đoạn mạng. Có thể giảm thiểu tích cực điều chỉnh sai bởi cảm biến của hệ thống bằng cách điều chỉnh thông số qui định được xây dựng trong chữ ký (điều chỉnh chữ ký) bằng cách điều chỉnh các thông số chữ ký cho đúng theo như hoạt động của hệ thống.

1. Chữ ký Micro-Engines

Một chữ ký Micro-Engines là một thành phần của một IDS và IPS cảm biến có hỗ trợ một nhóm các chữ ký dược phổ biến trong danh sách công cộng. Mỗi động cơ(engine) là tùy chỉnh cho các giao thức và lĩnh vực mà nó được thiết kế để kiểm tra và xác định một tập hợp các thông số quy phạm pháp luật có phạm vi cho phép hoặc tập hợp các giá trị. Chữ ký Micro-Engines tìm kiếm các hoạt động độc hại trong một giao thức cụ thể. Chữ ký có thể được định nghĩa cho bất

kỳ chữ ký Micro-Engines sử dụng các thông số được cung cấp bởi động cơ vi sinh hỗ trợ. Các gói dữ liệu được quét bởi Micro-Engines có thể hiểu được giao thức chứa trong gói.

Cisco signature micro-engines thực hiện song song các công cụ quét. Tất cả các chữ ký trong một chữ ký cho Micro-Engines được quét song song, chứ không phải là chuỗi. Mỗi chữ ký Micro-Engines chiết xuất từ các giá trị gói và vượt qua các phần của gói cho công cụ và không gian . Một kỷ thuật xử lý biểu hiên thường xuyên được quét song song, điều này làm tăng hiệu quả và kết quả truong việc thương lương cao hơn.

Khi IDS (chế độ promiscuous) hoặc IPS (inline mode) được kích hoạt, một chữ ký vi động cơ (signature micro-engine)được nạp (hoặc xây dựng) trên với router. Khi một chữ ký vi công cụ được xây dựng, router có thể cần phải biên dịch biểu thức thông thường được tìm thấy trong một chữ ký. Biên dịch biều hiện thường xuyên đòi hỏi bộ nhớ nhiều hơn dung lượng cuối cùng của biều hiện thường xuyên. Hãy chắc chắn để xác định các yêu cầu bộ nhớ cuối cùng của chữ ký đã hoàn thành việc sáp nhập trước khi tải và kết hợp chữ ký.

Chú ý:

- Một biểu hiện thường xuyên là một cách có hệ thống để xác định một tìm kiếm một kiểu mẫu trong một loạt các byte.

Ví dụ: một biểu hiện thường xuyên được sử dụng để ngăn chặn có chứa dữ liệu . Exe hay com hay bat. Thông qua bức tường lửa có thể. Giống như thế này:

* ".* \. ([Ee] [Xx] [Ee] | [Cc] [Oo] [Mm] | [Bb] [Aa] [Tt])".

Chú ý

- Đối với danh sách hiện đang được hỗ trợ chữ ký vi động cơ, hãy tham khảo danh sách "của Công cụ hỗ trợ Chữ ký" trên trang chủ của cisco.

Tóm tắt các loại động cơ chữ ký có sẵn trong Cisco IOS Release: Signature Engine Description

Atomic Chữ ký này thì kiểm tra các gói đơn

giản, chẳng hạn như ICMP và UDP

Service Chữ ký này là kiểm tra nhiều dịch vụ

đang bị tấn công String

Chữ ký sử dụng biểu thức thông thường dựa trên các mẫu để phát hiện xâm nhập.

Multi-string

Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ xu hướng chữ ký

Other Kỹ thuật bên trong để xử lý chữ ký

linh tinh

Bảng: Mô tả chi tiết

Signature Engine Description

ATOMIC.IP Cảnh báo ip lớp 3

ATOMIC.ICMP Cảnh báo icmp dựa trên :type, code,

sequence, and ID

ATOMIC.IPOPTIONS Cảnh báo chức năng giải mã ở lớp 3 ATOMIC.UDP

Cung cấp các gói UDP đơn giản báo động dựa trên các thông số: cổng, phương diện,và chiều dài dữ liệu ATOMIC.TCP

Cung cấp các gói tin TCP báo động đơn giản, dựa trên các thông số: cổng, điểm đến, và cờ

SERVICE.DNS Phân tích dịch vụ DNS

SERVICE.RPC Phân tích dịch vụ diều khiển từ xa

rpc

SERVICE.SMTP Kiểm tra phương thúc gửi mail SMTP

SERVICE.HTTP

Cung cấp các giao thức HTTP giải mã cơ bản dựa trên chuỗi động cơ; bao gồm anti-evasive URL de- obfuscation

SERVICE.FTP

FTP cung cấp dịch vụ đặc biệt giải mã cảnh báo

STRING.TCP UDP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra

STRING.UDP UDP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra

STRING.ICMP

ICMP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra

MULTI-STRING Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ mô hình chữ ký xu hướng .

Other Cung cấp các công cụ nội bộ để xử lý

chữ ký linh tinh.

Cisco IOS IPS và Cisco IPS AIM không thể được sử dụng cùng nhau. Cisco IOS IPS phải được vô hiệu hóa khi IPS AIM được cài đặt. Cisco IOS IPS là một ứng dụng cung cấp khả năng kiểm tra cho lưu lượng chạy qua router. Mặc dù nó được bao gồm trong IOS Cisco nâng cao tính năng bảo mật thiết, nó sử dụng CPU router và bể bộ nhớ chia sẻ để thực hiện việc kiểm tra. Cisco IOS IPS cũng chạy một tập con của chữ ký IPS. Cisco AIM IPS, thảo luận trước đó trong chương này, chạy với một CPU và bộ nhớ chuyên dụng, giảm tải xử lý tất cả các chữ ký IPS từ CPU router. Nó có thể tải một chữ ký đầy đủ các thiết lập và cung cấp các tính năng nâng cao IPS không có sẵn trên Cisco IOS IPS.

2. Chữ ký cảnh báo(Signature Alarms)

Năng lực của IDS và IPS cảm biến để phát hiện chính xác một cuộc tấn công hoặc vi phạm một chính sách và tạo ra một báo động là quan trọng đối với các chức năng của các bộ cảm ứng. Cuộc tấn công có thể tạo ra các loại sau đây của các báo động:

Sai tích cực: Một sai tích cực là một báo động được kích hoạt bởi giao thông bình thường hoặc một hành động bình thường. Hãy xem xét kịch bản này: chữ ký tạo ra các báo động nếu mật khẩu của bất kỳ thiết bị mạng được nhập

không chính xác. Một viên quản trị mạng cố gắng để đăng nhập vào một router Cisco nhưng nhập mật khẩu sai. Các IDS không thể phân biệt giữa một người sử dụng quấy phá hay là một quản trị mạng, và nó tạo ra một báo động.

Sai phủ định: Một tiêu cực sai xảy ra khi một chữ ký không được tạo ra khi vi phạm lưu lượng được phát hiện. Phạm vi vi phạm giao thông từ ai đó gửi tài liệu bí mật ở bên ngoài mạng công ty để chống lại các cuộc tấn công các máy chủ web của công ty. Sai âm là lỗi trong phần mềm IDS và IPS và cần được báo cáo. Một âm tính giả nên được coi là một lỗi phần mềm chỉ khi IDS và IPS có một chữ ký đã được thiết kế để phát hiện các vi phạm giao thông.

Đúng tích cực: Một tích cực thực sự xảy ra khi một chữ ký IDS hay IPS đúng bị vi phạm, và một báo động được tạo ra, khi vi phạm lưu lượng được phát hiện. Ví dụ, hãy xem xét một cuộc tấn công Unicode. Cisco IPS cảm biến có chữ ký mà phát hiện các cuộc tấn công chống lại Unicode Microsoft Internet Information Services (IIS) các máy chủ web. Nếu một cuộc tấn công Unicode là đưa ra đối với các máy chủ web Microsoft IIS, các cảm biến phát hiện các cuộc tấn công và tạo ra một báo động.

Đúng phủ định: Một tiêu cực thực sự xảy ra khi một chữ ký không đúng khi không vi phạm lưu lượng bị bắt và phân tích. Nói cách khác, cảm biến không kích hoạt, một báo động khi nó bắt và phân tích "mạng lưới giao thông bình thường".

Bảng: cung cấp một tóm tắt các loại báo động:

Loại cảnh báo Xâm nhập xảy ra/phát hiện

Xâm nhập không xảy ra/không phát hiện Cảnh báo được kích

hoạt

Đúng tích cực Sai tích cực

Cảnh báo không được kích hoạt

Sai phủ định Đúng phủ dịnh

Cảnh báo xảy ra khi đươc đáp ứn đúng các nhu cầu. phải cân nhắc với lượng cảnh báo nếu xảy ra quá nhiều cảnh báo sẽ khó mà quản lý được và băng thông sẽ bị chiếm do quá trình bắt và phân tích gói tin và việc gây ra cảnh báo nếu cảnh báo ít quá thì sẽ khó khăn trong việc phát hiện hệ thống có bị xâm nhập không nhưng băng thông của hệ thống không bị chiếm.Nếu hệ thống IPS không sử dụng dúng các cảnh báo thì sẽ gây ra cảnh báo sai tích cực. Do đó cần xem xét

mức độ cần thiết để gây ra một cảnh báo, đối với IPS signature được phân ra các cấp độ cảnh báo sau:

Thông tin: Hoạt động kích hoạt các chữ ký không được xem là một mối đe dọa trước mắt, nhưng những thông tin được cung cấp thông tin có ích.

Thấp: Mạng lưới hoạt động bất thường được phát hiện rằng có thể được coi như là độc hại, nhưng một mối đe dọa trước mắt là không có khả năng.

Trung bình: Mạng lưới hoạt động bất thường được phát hiện rằng có thể được coi như là độc hại, và là một mối đe dọa trước mắt có thể.

Cao: Tấn công được sử dụng để truy cập hoặc gây ra một cuộc tấn công DoS được phát hiện, và là một mối đe dọa trước mắt là rất có khả năng.

Ngoài các mức được định nghĩa mặc định có thể chỉnh sữa lại cho phù hợp với hệ thống mạng. Để giảm thiểu sai tích cực cần xem xét lưu lượng mạng tồn tại và sau đó mở signature lên để phát hiện xâm nhập không điển hình (trong các đặt tính) theo như các mẫu qui định. Không nên căn cứ vào chữ ký để chỉnh sữa khác mẫu qui định ,mà sử dụng mẫu chữ ký qui định sẵn để so sánh với các lưu lượng mạng đang có, lấy mẫu qui định sẵn làm điểm tựa để quyết định mẫu lưu lượng từ đó gây ra cảnh báo.

CHƯƠNG IV

Một phần của tài liệu nghiên cứu, ứng dụng hệ thống phát hiện xâm nhập (Trang 83 - 88)

(88 trang)