Môn học: Ứng dụng truyền thông An ninh thông tin Giảng viên: ThS Tô Nguyễn Nhật Quang Đề tài: Intrusion Detection System (IDS) – Hệ thống phát xâm nhập  Danh sách nhóm 21:  Hồ Trọng Nghĩa- 07520249  Nguyễn Văn Tuyển - 07520393  Nguyễn Vũ Toàn - 07520365  Nguyễn Huỳnh Hải Nam - 07520238  Trương Quang Thạnh - 07520324 Các phần Khái niệm IDS  Chức IDS  Kiến trúc IDS  Quy trình hoạt động IDS  Phân loại mô hình IDS  Các hành động cơng – xâm nhập  Phân tích IDS  Các kỹ thuật phân tích – xử lí thường dùng IDS  Phát hành vi bất thường  10 Những hạn chế IDS  Khái niệm IDS 1.1 Khái niệm IDS  IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị  IDS phân biệt công từ bên (từ người cơng ty) hay cơng từ bên ngồi (từ hacker)  IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm hành vi khác thường 1.2 Lịch sử đời IDS  Khái niệm phát xâm nhập xuất qua báo James Anderson  Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ  Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu  Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu cơng ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel  Hiện tại, thống kê cho thấy IDS/IPS công nghệ an ninh sử dụng nhiều phát triển 1.3 Phân biệt hệ thống IDS  Hệ thống đăng nhập mạng sử dụng để phát lỗ hổng vấn đề công từ chối dịch vụ (DoS) mạng Ở có hệ thống kiêm tra lưu lượng mạng  Các công cụ đánh giá lỗ hổng kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng (các quét bảo mật)  Các sản phẩm chống virus thiết kế để phát phần mềm mã nguy hiểm virus, Trojan horse, worm Mặc dù tính mặc định giống hệ thống phát xâm phạm thường cung cấp công cụ phát lỗ hổng bảo mật hiệu  Tường lửa (firewall)  Các hệ thống bảo mật/mật mã, ví dụ VPN, SSL, S/MIME, Kerberos, Radius… Chức IDS Chức IDS Chức quan trọng IDS là: giám sát – cảnh báo  Giám sát: lưu lượng mạng hoạt động khả nghi  Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Chức IDS Chức IDS cụ thể hành động như:  Nhận hành vi giống công mà hệ thống cài đặt từ trước  Phân tích thống kê luồng traffic khơng bình thường  Đánh giá kiểm tra tính tồn vẹn file xác định  Thống kê phân tích user hệ thống hoạt động  Phân tích luồng traffic  Phân tích event log (ghi kiện) 5.2 N-IDS  Hạn chế:  Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion  Khơng thể phân tích traffic encrypt (vd: SSL, SSH, IPSec…)  NIDS đòi hỏi phải cập nhật signature để thực an tồn  Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại  Không cho biết việc attack có thành cơng hay khơng  Một hạn chế giới hạn băng thông 5.2 N-IDS Traditional N-IDS Mơ hình truyền thống Distributed N-IDS Mơ hình phân tán Các hành động công xâm nhập Các hành động công xâm nhập Ngày hoạt động công xâm nhập đa dạng phức tạp Kỹ thuật ngày tinh vi hệ thống bạn ngày mong manh Các hành động công xâm nhập Dấu vết  Sử dụng lỗ hổng  Hoạt động mạng có tính chất chu kỳ  Các lệnh không đánh trả lời session tự động  Mâu thuẫn lưu lượng mạng  Các thuộc tính khơng mong muốn  Các vấn đề khơng giải thích Phân tích IDS Phân tích IDS IDS có hai loại phân tích phân tích kiểm định (sử dụng IDS khoảng thịi gian) phân tích online (sử dụng môi trường IDS thời gian thực) 7.1 Xử lí kiểm định  Các hành động thu thập theo chu kì xác định trước, liệu phân tích 7.2 Xử lí online  Dữ liệu xử lí sau thu thập CÁc kỹ thuật phân tích – Xử lí liệu thường dùng IDS  Hệ thống Expert  Phân tích dấu hiệu  Phương pháp Colored Petri Nets  Phân tích trạng thái phiên  Phương pháp phân tích thống kê  Neural Networks  Phân biệt ý định người dùng  Computer immunology Analogies  Machine learning  Việc tối thiểu hóa liệu PHát hành vi bất thường 10 Hạn chế IDS 10 Hạn chế IDS Cung cấp “Giải pháp thần kì” Quản lí cố phần cứng Điều tra công Phân tích tồn vẹn 100% Chân thành cảm ơn thầy bạn lắng nghe ... trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel  Hiện tại, thống kê cho thấy IDS/ IPS công nghệ an ninh sử dụng nhiều phát triển 1.3 Phân biệt hệ thống IDS  Hệ thống đăng nhập mạng... chế IDS  Khái niệm IDS 1.1 Khái niệm IDS  IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị  IDS. .. thường 1.2 Lịch sử đời IDS  Khái niệm phát xâm nhập xuất qua báo James Anderson  Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính không