An toàn mạng: Hệ phát hiện xâm nhập Vo Viet Minh Nhat Khoa CNTT – Trường ĐHKH Nội dung trình bày  Mở đầu về sự phát hiện xâm nhập  Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm nhập IDS dựa trên mạng  Một số phương pháp tấn công qua mặt hệ thống IDS  Kết luận Mục đích  Bài trình bày này nhằm  Trình bày một sô khái niệm về hệ IDS  Giải thích sự khác nhau giữa những hệ IDS  Mô tả chi tiết hệ IDS dựa trên host  Mô tả chi tiết hệ IDS dựa trên mạng  Trình bày một số phương pháp tấn công qua mặt hệ thống IDS Mở đầu  Để bảo vệ tài nguyên, các công ty không chỉ dựa trên những hệ thồng bị động như tường lửa, VPN, các kỹ thuật mã hóa hay một số thứ khác, mà người ta còn cần các công cụ hay thiết bị chủ động khác trên mạng: đó chính là sự ra đời của các hệ IDS  Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống. Do đó, các chính sách an toàn do đó cần phải định nghĩa ai hay cái gì được xem như là một sự cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống Mở đầu  Có hai kiểu kẻ xâm nhập tiềm tàng  Kẻ xâm nhập bên ngoài: được xem như các crackers  Kẻ xâm nhập bên trong : xuất hiện từ bên trong các tổ chức  IDSs là các giải pháp hiệu quả cho việc phát hiện 2 loại xâm nhập này. Các hệ IDS thực hiện liên tục trên mạng, thông báo cho người quản trị mạng khi phát hiện thất một cố gắng thâm nhập bất thường nào đó Mở đầu  IDSs có 2 thành phần chính  IDS sensors: bao gồm các phần mền hay phần cứng được sử dụng để tập hợp và phân tích các luồng dữ liệu. IDS sensors được phân thành 2 loại  IDS sensors dựa trên mạng: có thể được gắn với một thiết bị mạng, hoạt tiết bị độc lập hoạt là một module giám sát luông dữ liệu  IDS sensors dựa trên host: là một agent đặc biệt thực hiện trên một server để giám sát hệ điều hành  Phần quản lý IDS: hoạt động như một hệ tập hợp các cảnh báo và thực hiện các cấu hình hay triền khai các dịch vụ cho các IDS sensors trên mạng. [...]... thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng Một ví dụ của kỹ thuật dò sự không bình thường Các loại IDS  Có 2 nhiều loại IDS   Hệ phát hiện xâm nhập IDS dựa trên host Hệ phát hiện xâm nhập IDS dựa trên mạng Hệ phát hiện. .. network đi vào mạng Hệ phát hiện xâm nhập IDS dựa trên mạng Hệ phát hiện xâm nhập IDS dựa trên mạng  Có 2 loại phản ứng được thực hiện tại tầng mạng:   Passive Response (phản ứng bị động) Active Response (phản ứng chủ động) Phản ứng bị động  Phản ứng bị động bao gồm:    Logging: ghi lại những sự kiện đã xảy ra và tình huống mà nó đã xảy ra để cung cấp đủ thông tin cho người quản trị hệ thống biết... mạng đi vào đến host Hệ phát hiện xâm nhập IDS dựa trên host Hệ phát hiện xâm nhập IDS dựa trên host  HIDS có 2 nhược điểm:    nếu hệ thống bị xâm nhập thành công thì logfile mà IDS sử dụng có thể bị sai hoặc không chính xác Điều này làm cho việc xác định lỗi trở nên khó khăn hoặc hệ thống mất độ tin cậy HIDS chỉ triển khai trên hệ thống mà chúng ta cần giám sát nên không mang lại hiệu quả kinh... không thể phát hiện được sự xâm nhập nếu hệ thống đã bị tấn công thành công NIDS không thể phân tích được traffic đã được mã hóa Hệ phát hiện xâm nhập IDS dựa trên host    HIDS được thiết kế như là 1 dịch vụ hoặc như một tiến trình nền trong hệ thống máy tính Hệ thống HIDS sẽ kiểm soát logfile, những sự kiện hệ thống và tương tác ứng dụng Bình thường hệ thống HIDS không giám sát các lưu lượng mạng đi... trong hệ thống và mọi hành vi từ bên ngoài tác động vào hệ thống Phân tích log nhằm mục đích phát hiện ra dấu hiệu hệ thống đã bị xâm nhập Một số loại HIDS sensors  Signature-based sensors (Cảm biến dựa trên dấu hiệu)   là một tập hợp các dấu hiệu được thiết lập để kiểm tra các traffic khi đi vào hệ thống Khác với Log-based, signature-based phân tích được mọi lưu lượng đi vào hệ thống Signature-based... Nhược điểm:  không phát hiện được các cuộc tấn công không có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới Anomaly Detection IDS   Anomaly Detection IDS (AD-IDS) là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường Ban đầu chúng lưu trữ... thuật dò sự không bình thường   Anomaly protocol detection (phát hiện sự bất thường của giao thức): căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các dấu hiệu bất thường của sự xâm nhập, tấn công Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng để thu thập thông tin của hacker, việc phát hiện các cuộc tấn công kiểu từ chối... độ tự học): bao gồm hai bước: khi hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học để thiết lập 1 profile về cách phản ứng của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết lập Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của mình Nhưng nếu... mọi lưu lượng đi vào hệ thống Signature-based phát hiện nhanh các cuộc tấn công, nhưng để phát hiện các cuộc tấn công khác thường, tinh vi thì signature database trong IDS phải lớn và được cập nhật thường xuyên Một số loại HIDS sensors  Application behavior analyzers (phân tích hành vi ứng dụng)   Nó hoạt động như 1 phần mềm đứng giữa trình ứng dụng và hệ điều hành Nó sẽ phân tích hành vi của trình... lại một lần nữa cho kẻ tấn công đến hệ thống là hệ thống này đã bị phá Điều này cho phép quản trị hệ thống tập hợp dữ liệu về cuộc tấn công này đang được thực hiện như thế nào và những kỹ thuật nào được sử dụng trong cuộc tấn công này IDS sử dụng honeyPot để thu thập phương thức tấn công Ưu & Nhược điểm của NIDS Ưu điểm    Giám sát được toàn bộ lưu lượng vào ra hệ thống Có thể capture nội dung của . An toàn mạng: Hệ phát hiện xâm nhập Vo Viet Minh Nhat Khoa CNTT – Trường ĐHKH Nội dung trình bày  Mở đầu về sự phát hiện xâm nhập  Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm. của mạng. Một ví dụ của kỹ thuật dò sự không bình thường Các loại IDS  Có 2 nhiều loại IDS  Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm nhập IDS dựa trên mạng Hệ phát hiện xâm. tất cả traffic network đi vào mạng. Hệ phát hiện xâm nhập IDS dựa trên mạng Hệ phát hiện xâm nhập IDS dựa trên mạng  Có 2 loại phản ứng được thực hiện tại tầng mạng:  Passive Response (phản