Mô tả:
an toàn cơ sở dữ liệu phần 4
Chương 4.
PHÁT HIỆN XÂM NHẬP
CƠ SỞ DỮ LIỆU TRÁI PHÉP
GV: Nguyễn Phương Tâm
MỤC TIÊU
Giới thiệu một số công cụ phát hiện xâm nhập trái
phép
Trình bày hướng tiếp cận dựa vào các hệ chuyên gia
Trình bày các xu hướng chung trong việc phát hiện
xâm nhập
Trường CĐ CNTT HN Việt Hàn
2/81
Nguyễn Phương Tâm
NỘI DUNG
4.1 Giới thiệu
4.2 Các công cụ tự động phát hiện xâm nhập
4.3 Hướng tiếp cận dựa vào hệ chuyên gia
4.4 Kiểm toán trong các hệ thống quản trị CSDL tin
cậy
4.5 Các xu hướng chung trong phát hiện xâm nhập
Trường CĐ CNTT HN Việt Hàn
3/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Mục đích của các biện pháp phát hiện xâm
nhập máy tính là phát hiện ra các loại xâm
phạm an toàn cơ bản như:
Xâm phạm tính toàn vẹn.
Từ chối dịch vụ.
Truy nhập trái phép.
Trường CĐ CNTT HN Việt Hàn
4/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu
quả của các biện pháp phát hiện xâm nhập này, như:
Người sử dụng áp dụng các biện pháp này chưa
đúng
Các kiểm soát an toàn làm giảm hiệu năng của hệ
thống.
Những người sử dụng hợp pháp có thể lạm dụng
quyền của mình bằng những điểm yếu mà các biện
pháp phát hiện xâm nhập chưa phát hiện ra.
Trường CĐ CNTT HN Việt Hàn
5/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Phát hiện xâm nhập là gì?
Phát hiện xâm nhập là khả năng nhận dạng xâm
nhập do các cá nhân gây ra, bao gồm: những người
sử dụng hệ thống bất hợp pháp (“tội phạm máy
tính” - hacker) và những người sử dụng hợp pháp
nhưng lại lạm dụng các đặc quyền của mình (“đe
doạ bên trong”).
Trường CĐ CNTT HN Việt Hàn
6/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Ví dụ:
Sửa đổi trái phép các tập tin để có thể truy nhập vào
dữ liệu.
Truy nhập hoặc sửa đổi trái phép các tập tin người
sử dụng và thông tin.
Sửa đổi trái phép các bảng của hệ thống (chẳng hạn
như sửa đổi các bảng định tuyến để chối bỏ sử dụng
mạng).
Tạo ra các account trái phép hoặc sử dụng trái phép
các account hiện có.
Trường CĐ CNTT HN Việt Hàn
7/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Mô hình phát hiện xâm nhập:
Khả năng phát hiện xâm nhập máy tính phụ thuộc vào
sự xuất hiện của một mô hình phát hiện xâm nhập.
Hiện nay có hai kiểu mô hình phát hiện xâm nhập được
các hệ thống phát hiện xâm nhập (Intrusion Detection
System - IDS) áp dụng là:
Mô hình phát hiện tình trạng bất thường (Anomaly
detection models)
Mô hình phát hiện sự lạm dụng (Misuse detection
models)
Trường CĐ CNTT HN Việt Hàn
8/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Mô hình phát hiện tình trạng bất thường:
Các mô hình này cho phép so sánh profile (trong đó có
lưu các hành vi bình thường của một người sử dụng)
một cách có thống kê với các tham số trong phiên làm
việc của người sử dụng hiện tại. Các sai lệch 'đáng kể'
so với hành vi bình thường sẽ được hệ thống IDS báo
cáo lại cho chuyên gia an ninh, các sai lệch được đo
bằng một ngưỡng (do mô hình xác định hoặc chuyên
gia an ninh đặt ra).
Trường CĐ CNTT HN Việt Hàn
9/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Mô hình phát hiện sự lạm dụng:
Mô hình này trợ giúp việc so sánh các tham số trong
phiên làm việc của người sử dụng với các mẫu tấn công
đã có, được lưu trong hệ thống.
Trường CĐ CNTT HN Việt Hàn
10/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Cơ chế làm việc dựa vào kiểm toán:
Các IDS kiểm soát hành vi của người sử dụng trong hệ
thống bằng cách theo dõi các yêu cầu mà người sử
dụng thực hiện và ghi chúng vào một vết kiểm toán
thích hợp. Sau đó phân tích vết kiểm toán này để phát
hiện dấu hiệu đáng nghi của các yêu cầu đó.
Trường CĐ CNTT HN Việt Hàn
11/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Nhược điểm:
Các kiểm soát kiểm toán rất phức tạp và được tiến
hành sau cùng.
Việc kiểm toán được thực hiện thủ công với một
khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất
nhiều khả năng làm việc của hệ thống.
Các kiểm soát kiểm toán này không được tiến hành
thường xuyên. Kết quả là các tấn công vào hệ thống
không được phát hiện thường xuyên, hoặc chỉ được
phát hiện sau khi chúng đã xảy ra được một thời
gian khá lâu.
Trường CĐ CNTT HN Việt Hàn
12/81
Nguyễn Phương Tâm
4.1 GIỚI THIỆU
Một số IDS:
Các IDS dựa vào việc phân tích các vết kiểm toán
do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ
chuyên gia phát hiện xâm nhập) của SRI.
MIDAS của Trung tâm an ninh quốc gia.
Haystack System của Thư viện Haystack.
Wisdom & Sense của thư viện quốc gia Alamos...
Trường CĐ CNTT HN Việt Hàn
13/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Các hệ thống phát hiện xâm nhập (IDS) được sử dụng
kết hợp với các kiểm soát truy nhập, nhằm phát hiện
ra các xâm phạm hoặc các cố gắng xâm phạm có thể
xảy ra.
Kiến trúc cơ bản của một IDS
Trường CĐ CNTT HN Việt Hàn
14/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Kiến trúc cơ bản của một IDS
Vết kiểm toán
(Audit trail)
CSDL mẫu tấn
công
Nhân viên an ninh
(Security officer)
Trường CĐ CNTT HN Việt Hàn
Phát hiện sự bất
thường
(Anomaly
detection)
Phân tích sự
lạm dụng
(Misuse
analysis)
CSDL profile
Mức nghi ngờ
(Suspicion level)
15/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Các bước xử lý
Tiền
xử lý
Phân
tích bất
thường
So
sánh
mẫu
Cảnh
báo
Trường CĐ CNTT HN Việt Hàn
16/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Khi phân tích an toàn dữ liệu kiểm toán, một mục đích của các
công cụ tự động là giảm khối lượng dữ liệu kiểm toán được
xem xét một cách thủ công. Các công cụ này có thể đưa ra các
bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực
tuyến hoặc ngoại tuyến.
Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy
ra với hệ thống như: các đối tượng xâm nhập bên ngoài, xâm
nhập bên trong và đối tượng lạm dụng quyền gây ra.
Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính
là những „người sử dụng bí mật‟ được định nghĩa là những
người có thể tránh được các kiểm soát truy nhập và kiểm toán,
bằng cách sử dụng các đặc quyền của hệ thống, hoặc hoạt động
tại mức thấp hơn mức kiểm toán.
Trường CĐ CNTT HN Việt Hàn
17/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Chúng ta có thể giải quyết tình trạng này bằng cách:
Giảm mức kiểm toán xuống thấp hơn. (Ví dụ, mức
kiểm toán chỉ đến mức file, bảng CSDL, ta giảm
xuống mức bản ghi, mức cột, mức phần tử...)
Định nghĩa các mẫu sử dụng thông thường của các
tham số hệ thống (như hoạt động của CPU, bộ nhớ
và sử dụng ổ đĩa) và so sánh chúng các giá trị thực
trong quá trình sử dụng hệ thống.
Trường CĐ CNTT HN Việt Hàn
18/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Từ các vết kiểm toán ghi lại được, các IDS tiến hành
một số kiểu phân tích như sau:
So sánh hoạt động của người sử dụng với các
profile để phát hiện sự bất thường,
So sánh với các phương pháp tấn công đã biết để
phát hiện lạm dụng và một số chương trình thì tiến
hành cả hai.
Trường CĐ CNTT HN Việt Hàn
19/81
Nguyễn Phương Tâm
4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Hoạt động của IDS
Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một
số) máy chủ (host).
Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra
một profile có lưu các hoạt động
So sánh nó với CSDL bên trong của máy chủ. Nếu CSDL
này là một CSDL cho phát hiện bất thường thì việc so sánh
mang tính chất thống kê, còn nếu nó là một CSDL lạm dụng
thì tiến hành đối chiếu mẫu khi so sánh.
Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy
diễn, phân tích dự báo, hoặc các phương pháp xấp xỉ khác.
Trường CĐ CNTT HN Việt Hàn
20/81
Nguyễn Phương Tâm
- Xem thêm -