Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống phát hiện và ngăn ngừa
xâm nhập được triển khai trên
thiết bị đầu cuối
(Host-based IDS/IPS)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng của HIPS
- Phải có khả năng ngăn chặn các hoạt động của mã
độc hại.
- Không được làm gián đoạn các hoạt động bình
thường.
- Phải có khả năng biết được sự khác nhau giữa các
sự kiện tấn công và sự kiện bình thường.
- Phải có khả năng ngăn chặn được các cuộc tấn
công chưa từng được biết tới.
- Phải bảo vệ được các lỗ hỏng trong các ứng dụng.
- Nên được quản lý tập trung.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các lợi ích của HIPS
- Ngăn chặn tấn công (attack prevention)
-Ngăn chặn phát tán tấn công nội bộ (internal
attack propagation prevention)
- Thực thi chính sách (Policy enforcement)
- Thực thi chính sách sử dụng có thể chấp
nhận được (Acceptable Use Policy
Enforcement)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giới hạn của HIPS
- Can thiêp người dùng cuối (Subject to End
User Tampering)
- Thiếu sự bao quát toàn mạng (Lack of
Complete Coverage)
- Các cuộc tấn công không nhằm vào mục
tiêu là các máy tính.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giới hạn của HIPS:
Can thiệp người dùng cuối
Một số phương pháp can thiệp có thể gây hại
đến HIPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các giới hạn của HIPS:
Thiếu sự bao quát toàn mạng
HIPS chỉ có thể bảo vệ các
máy tính (host) mà nó được
cài đặt lên đó.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Mục tiêu không phải là máy tính
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các thành phần của HIPS
Các sản phẩm HIPS thường có 2 thành
phần thiết yếu:
- Phần mềm được cài đặt trên thiết bị đầu
cuối để bảo vệ thiết bị đầu cuối đó. Được
gọi Endpoint Agents.
- Cơ sở hạ tầng quản lý để quản lý các
agent.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
tiến trình điều khiển truy cập
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp
Bước đầu tiên trong tiến trình điều khiển truy
cập là “Xác định nguồn tài nguyên đang
được truy cập”. Xác định này sẽ kích hoạt
bước “Thu thập dữ liệu” và thay đổi loại hay
số lượng dữ liệu được thu thập.
Hỏi: Cách để xác định nguồn tài nguyên là
quan trọng?
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Vòng đời của cuộc tấn công
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Nhận biết các nguồn tài nguyên mà cuộc tấn
công cần cho mỗi giai đoạn:
- Mạng (Network)
- Bộ nhớ (Memory)
- Sự thực thi ứng dụng (Application execution)
- Các tập tin (files)
- Cấu hình hệ thống
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
4 phương pháp phổ biến dể thu thập dữ liệu:
- Kernel modification
- System call Interception
- Virtual Operation Systems
- Network traffic Analysis
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động (tt)
Kernel modification
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception (tt): Ví dụ trong Windows
- CSATdi (transport driver interface)
- CSAFile
- CSAReg
- CSACenter
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Virtual Operating Systems: trước khi các hành động được
cho phép, quyền được thực thi hành động đó được thực
hiện trong bản sao ảo của hệ điều hành.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Network Traffic Analysis
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Dữ liệu được thu thập cho mỗi loại tài nguyên
Loại tài nguyên
Dữ liệu thu thập
Tất cả
Thời gian, xác định đầu cuối, access token, credential
Giám sát mạng
Địa chỉ IP nguồn, đích ; cổng nguồn, đích
Yêu cầu kết nối mạng
Tên tiến trình, địa chỉ IP, cổng, hành động (chấp nhận, từ chối)
Truy cập file
Tên tiến trình, đường dẫn file, tên file, hành động (đọc, viết)
Truy cập registry
Tên tiến trình, đường dẫn key, tên key, giá trị, loại
Sự thực thi ứng dụng
Tên tiến trình, đường dẫn tiến trình, tên tiến trình mục tiêu,
đường dẫn tiến trình mục tiêu
Bảo vệ kernel
Tên mô-dun kernel, hash mô-dun, code pattarn
Bộ nhớ (memory)
Tên tiến trình, fuction call, buffer return address, buffer
contents
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Endpoint Agents:
Xác định tình trạng hệ thống
Tất cả dữ liệu liên quan đã được thu thập, tuy
nhiên tình trạng hệ thống có thể thay đổi kết quả
của việc yêu cầu này.
Có 3 loại sau:
- Tình trạng vị trí (location state)
- Tình trạng người dùng (user state)
- Tình trạng hệ thống (system state)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
- Xem thêm -
.PDF 
41 
339 
80 
