Đang tải... (xem toàn văn)
Hệ thống phát hiện xâm nhập:IDS là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị.Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…..
Hệ thống phát hiện xâm nhập Intrusion detection systems IDS Phát hiện xâm nhập Hệ thống phát hiện xâm nhập • IDS là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. • Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,… Hệ thống phát hiện xâm nhập Ta có thể hiểu tóm tắt về IDS như sau : Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ o Giám sát : lưu lượng mạng + các hoạt động khả nghi. o Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. o Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. Chức năng mở rộng : o Phân biệt : "thù trong giặc ngoài“ o Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập Phân loại hệ thống phát hiện xâm nhập: 1. Network Intrusion Detection System (NIDS) 2. Host Intrusion Detection System (HIDS) Network Intrusion Detection System (NIDS) NIDS thường được đặt trên một network segment như một thành phần chuyên dụng. NIDS làm nhiệm vụ phân tích các packets "đi qua nó" và kiểm tra các dấu hiệu tấn công dựa trên một tập các signature, nếu dấu hiệu trong packet trùng khớp, NIDS sẽ ghi nhận lại và gửi đi một báo động. Network Intrusion Detection System (NIDS) Network Intrusion Detection System (NIDS) Lợi thế của NIDS: Quản lý được cả một network segment (gồm nhiều host) "Trong suốt" với người sử dụng lẫn kẻ tấn công Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng Tránh DoS ảnh hưởng tới một Host nào đó Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) Độc lập với OS Network Intrusion Detection System (NIDS) Hạn chế của NIDS: Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec,…) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. Không cho biết việc attack có thành công hay không. [...]... networks o Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng o Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộng đồng phát hiện xâm nhập Các kỹ... Networks o Sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa chúng để rút ra mối quan hệ vào/ra mới o Phương pháp neural network được sử dụng cho phát hiện xâm nhập, mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm) o Thực ra các phương pháp thống kê cũng một phần được coi... dụng Hành vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theo một số biến thời gian o Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số file truy nhập trong một chu kỳ thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được... đề gây tốn nhiều thời gian o Kỹ thuật này không được sử dụng trong các hệ thống thương mại Các kỹ thuật xử lý dữ liệu • Phân tích trạng thái phiên o Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày trong sơ đồ trạng thái phiên Các kỹ thuật xử lý dữ liệu • Phương pháp phân tích thống kê, o Đây là phương... http://www.tntsoftware.com/default.aspx Các kỹ thuật xử lý dữ liệu • Hệ thống Expert o Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else • Ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T) Các kỹ thuật xử lý dữ liệu • Phân... chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên • Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all): - Các tiến trình - Các entry của Registry - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn và truy cập trên hệ thống file - Một vài thông số khác Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file... các cơ chế Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại • Ví dụ như Stalker, Real Secure, NetRanger, Emerald eXpert-BSM Các kỹ thuật xử lý dữ liệu • Phương pháp Colored Petri Nets o Thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa o Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri... do tấn công, đồng thời HIDS cũng bị "hạ“ HIDS phải được thiết lập trên từng host cần giám sát HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat,…) HIDS cần tài nguyên trên host để hoạt động HIDS có thể không hiệu quả khi bị DoS Host Intrusion Detection System (HIDS) • Một số sản phẩm HIDS : Snort http://www.snort.org/ GFI EventsManager 7 http://www.gfi.com/lanselm/? adv=142&... người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra Các kỹ thuật xử lý... năng xác đinh user liên quan tới một event HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này Có thể phân tích các dữ liệu mã hoá Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này Host Intrusion Detection System (HIDS) Hạn chế của HIDS: Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công . Hệ thống phát hiện xâm nhập Intrusion detection systems IDS Phát hiện xâm nhập Hệ thống phát hiện xâm nhập • IDS là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh. ngoài“ o Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập Phân. đó truy cập hệ thống mạng, … Hệ thống phát hiện xâm nhập Ta có thể hiểu tóm tắt về IDS như sau : Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ o Giám sát : lưu lượng mạng + các hoạt