Đăng ký Đăng nhập
Trang chủ Giáo dục - Đào tạo Cao đẳng - Đại học Y dược Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép ids...

Tài liệu Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép ids

.PDF
21
242
110

Mô tả:

Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Bởi: Nguyễn Tiến An Mục lục Mục lục hình vẽ. Danh mục từ biết tắt. IDS: Intrucsion Detection System: Hệ thống phát hiện xâm nhập NIDS: Netwosk - Based IDS: Một loại của IDS. HIDS: Host - Based IDS: Một loại của IDS. AAFID:Autonomous Agents for Intrusion Detection : các tác nhân tự trị cho việc phát hiện xâm phạm. LỜI NÓI ĐẦU Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Internet ngày càng phổ biến rộng rải cho mọi người để trao đổi thông tin trên mạng. Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng hổi và được quan tâm đến trong mọi thời điểm. Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn 1/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phương pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế. Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay. Từ những vấn đề nêu trên, em thực hiện báo cáo thực tập này với mong muốn nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép. Em xin chân thành cám ơn các thầy cô hướng dẫn em tận tình để em hoàn thành báo cáo thực tập này! Hà Nội, tháng 3 năm 2011 1. IDS là gì? Là một hệ thống nhằm phát hiện các hành động xâm nhập tấn công vào mạng. IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với basedline để tìm ra các dấu hiệu khác thường. Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất, nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ. Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép đi qua, tìm kiếm các dấu hiệu đã biết mà không thể kiểm tra hoặc ngăn chặn bởi Firewall. Sau đó cung cấp thông tin và đưa ra các cảnh báo cho các quản trị viên. 2/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS IDS cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó được đánh giá giá trị giống như Firewall và VPN là ngăn ngừa các cuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, IDS có thể thỏa mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công và thỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đưa ra một số cảnh báo chưa đúng. Phân biệt những hệ thống không phải là IDS: Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS: Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ trên một mạng nào đó. Ở đó có hệ thống kiểm tra lưu lượng mạng. Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng. Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm nhập và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. Tường lửa và các hệ thống bảo mật, mật mã như VPN, SSL,S/MINE, Kerberos, Radius... 2. Chức năng của IDS Nhìn chung, IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn những kẻ khai thác một cách thành công, tuy nhiên , một sự phát hiện mới nhất của IDS đó là hệ thống ngăn chặn xâm phập đã có thể thực hiện nhiều vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra. Định nghĩa IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS được nhìn nhận như là một cái chuông báo trộm mà có thể thông báo cho bạn biết khi nào thì bạn bị tấn công, Tuy nhiên những hệ thống IDS hiện đại thì phức tạp hơn nhiều và ít người có thể đồng ý rằng có mức độ giống như một cái chuông báo trộm truyền thống đáng tin cậy.Nếu sự giống nhau là cùng được sử dụng thì một hệ thống IDS trông giống như những chiếc camera chống trộm hơn là một cái chuông, những người có trách nhiệm có thể quan sát chúng và đáp trả cho những đe dọa xâm nhập. Thực tế thì dường như IDS chỉ nói cho chúng ta biết rằng mạng đang bị nguy hiểm. Và điều quan trọng để nhận ra đó là một vài cuộc tấn công vào mạng đã thành công nếu hệ thống không có IDS. Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe doạ với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin, bổ sung những điểm yếu của hệ thống khác...Có nhiều tài liệu giới thiệu về những chức năng mà 3/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS IDS đã làm được nhưng có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS như sau: • Bảo vệ tính toàn vẹn của dữ liệu, đảm bảo sự nhất quán của dữ liệu trong hệ thống . Các biện pháp đưa ra ngăn chặn được thay đổi bất hợp pháp hoặc phá hoại dữ liệu. • Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp. • Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức la hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. • Cung cấp thông tin về sự truy cập, đưa ra những chính sách đối phó, khôi phục , sửa chữa... Nhìn chung, hệ thống IDS có thể giúp chúng ta ngăn ngừa các sự kiện khi nó chưa sảy ra, cung cấp các giải pháp cho mạng và cho host, và thậm chí cũng có thể hoạt động như một cái chuông báo động. Tuy nhiên, chức năng chính của nó là thông báo cho bạn biết về các sự kiện có liên quan đến an ninh hệ thống đang sắp sửa xảy ra bên trong mạng và hệ thống mà bạn kiểm soát. Hình 1: Chức năng của IDS 4/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS 3. Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập Chúng ta nhìn tổng quan về hệ thống IDS bao gồm cả điểm yếu và điểm mạnh của chúng, chúng ta sẽ đề cập đến cả Network IDS (nhiều khi được đề cập đến như một Sniffer) và Host IDS (phân tích nhật ký, kiểm tra tích hợp và nhiều thứ khác). 3.1 Network IDS_NIDS Network IDS là hệ thống phát hiện xâm nhập mạng, nó bắt gói dữ liệu được truyền đi trong môi trường mạng (cables, Wireless) và so sánh chúng với một số dấu hiệu xâm nhập thì hệ thống sẽ sinh ra cảnh báo hoặc ghi lại xâm nhập này vào một tệp hoặc cơ sở dữ liệu nhật ký. 3.2 Host IDS _ HIDS Được cài đặt trong máy cần bảo vệ. Hệ thống xâm nhập này sẽ tìm kiếm trong các tệp nhật ký của ứng dụng để phát hiện bất cứ hiện tượng xâm nhập nào. • Sự khác nhau chủ yếu của hệ thống NIDS và HIDS : Sự khác nhau chủ yếu của NIDS và HIDS là dữ liệu mà nó tìm kiếm. NIDS nhìn vào toàn cảnh các chuyển dịch trên mạng , trong khi HIDS thì quan sát các host, hệ điều hành và các ứng dụng. Trong thực tế, nó được chia cắt ra nhiều lĩnh vực khác nhau, chẳng hạn như HIDS ngăn chặn các truy cập có hại cho mạng, còn NIDS thì cố gắng đoán xem cái gì xảy ra bên trong host. Có một số giới hạn không rõ nét lắm như công nghệ để phát triển tiếp theo. 5/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Vậy những thuận tiện của Host base IDS là gì? Sự khác nhau cơ bản giữa chúng đó là trong khi NIDS phát hiện ra các cuộc tấn công tiềm năng (những thứ sẽ được chuyển tới đích) thì Host IDS lại phát hiện ra những cuộc tấn công mà đã thành công, có kết quả. Bởi vậy có thể nói rằng NIDS lại phát hiện ra những cuộc tấn công đã thành công, có kết quả. Vì vậy có thể nói rằng NIDS mang tính tiên phong hơn. Tuy nhiên, một host IDS sẽ hiệu quả hơn đối với trong các môi trường có tốc độ chuyên dịch lớn, mã hóa và có chuyển mạch - đây là những môi trường mà NIDS rất khó hoạt động. HIDS được thử thách bởi rất nhiều những hành động có mức độ phơi bày cao của kẻ tấn công và đã thực sự nâng tầm xử lý của chúng. Mặt khác thì NIDS lại là một phần rất tuyệt cho môi trường tổng hợp như toàn bộ mạng. Vì thế, NIDS có thể tạo nên một sự quan sát có ý nghĩa đến các phần của vụ tấn công có liên quan đến nhiều hosts. Nó được thử thách trong môi trường mạng có chuyển mạch tốc độ cao, môi trường mã hóa và các giao thức ứng dụng hiện đại phức tạp, bởi thế nên các kết quả báo sai cũng rất có khả năng xảy ra. 3.3 Các dấu hiệu Là mẫu mà được tìm kiếm bên trong gói dữ liệu. Một dữ liệu được dùng để tìm kiếm một hoặc nhiều kiểu tấn công khác nhau của một gói tin, phụ thuộc vào bản chất của gói tin đó. Thông thường IDS dựa trên các dấu hiệu để tìm ra xâm nhập trái phép. Do vậy IDS cần phải cập nhập các dấu hiệu mới cho một kiểu tấn công mới tương ứng. 3.4 Sensor Một máy trên đó đang chạy một hệ thống phát hiện xâm nhập thì được gọi là một sensor. Nó là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an ninh của hệ thống mạng. Sensor có khả năng rà quét các gói tin trên mạng , so sánh nội dung với các mẫu và phát hiện ra các dấu hiệu tấn công. 4. Kiến trúc của hệ thống phát hiện xâm nhập IDS Kiến trúc của hệ thống IDS bao gồm các thành phần chính: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin ( Dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong 3 thành phần này thì thành phần phân tích gói tin là một thành phần quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta đi xâu vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông 6/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng. Hình 2: Kiến trúc hệ thống IDS Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữa các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính 7/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (Autonomous Agents for Intrusion Detection _các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. Hình 3: Kiến trúc đa tác nhân - AAFID Ngoài ra còn có 1 số điểm chú ý sau: - Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp.- Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát , kiểm tra thông tin đầu vào đầu ra:+ Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm:+Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi báo cáo về vị trí trung tâm.+Phân phối: Mỗi 8/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát, kiểm tra báo cáo. 5. Cách thức làm việc của IDS Cách thức làm việc của phụ thuộc vào từng loại IDS. Ta sẽ xem xét cách thực làm việc của Network - Based IDS và Host - Based IDS, cùng với ưu và nhược điểm của mỗi loại. 5.1 Network - Based IDS Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi nhận được mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor được cài đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với mạng được định nghĩa để phát hiện đó là tấn công hay không. NIDS được đặt giữa kết nối hệ thống mạng bên trong và hệ thống mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tinh, chủ yếu dùng để đo lưu lượng mạng được sử dụng. Hình 4: Mô hình NIDS. NIDS giám sát toàn bộ mạng con của nó bằng cách lắng nghe tất cả các gói tin trên mạng con đó. ( Nó thay đổi chế độ hoạt động của card mạng NIC vào trong chế độ Promisuous). Bình thường một NIC hoạt động ở chế độ Nonpromisuous nghĩa là nó chỉ 9/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS nhận các gói tin mà có địa chỉ MAC trùng với địa chỉ của nó, các gói tin khác sẽ không nhận, hay không xử lý và bị loại bỏ. Để giám sát tất cả các truyền thông trong mạng con NIDS phải chấp nhận tất cả các gói tin và chuyển chúng tới stack để xử lý. Do vậy nó sẽ phải thiết lập chế độ hoạt động cho card mạng là Promisuous. Hình thức dưới đây minh họa một mạng mà sử dụng 3 NIDS khác nhau: Hình 5: Mô hình 3 NIDS • Phân tích gói tin: NIDS kiểm tra tất cả các thành phần trong gói tin để tìm ra dấu hiệu của một cuộc tấn công trái phép bao gồm: Các phần đầu(header) của gói tin và phần nội dung của gói tin (payload) • Chống lại việc xóa dấu vết của Hacker NIDS kiểm tra tất cả các luồng thông tin trên mạng một cách tức thời để phát hiện tấn công trong thời gian thực vì thế Hacker không thể xóa dấu vết của việc tấn công. Việc bắt dữ liệu không những tìm ra tấn công mà còn giúp cho việc xác định định danh của kẻ tấn công đó. Đây được coi là bằng chứng. • Phát hiện và đáp ứng thời gian thực NIDS phát hiện cuộc tấn công đang xảy ra trong thời gian thực và do đó tạo ra các phản ứng nhanh hơn. Ví dụ: Một Hacker khởi tạo một cuộc tấn công từ chối dịch vụ dựa trên IDS sẽ gửi một TCP reset để ngăn phiên TCP này, do vậy cuộc tấn công gắn liền với phiên TCP đó bị 10/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS loại bỏ trước khi nó bị làm sụt đổ hay phá hoại hệ thống. Đáp ứng thời gian thực giúp ta nhanh chóng có phương pháp đáp trả. • Đơn lập hệ điều hành Network IDS thì không phụ thuộc vào hệ điều hành trong công việc phát hiện tấn công. Lợi thế của Network-Based IDSs: • • • • • • • • • • • Quản lý được cả một network segment (gồm nhiều host) "Trong suốt" với người sử dụng lẫn kẻ tấn công. Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng. Tránh tấn DOS ảnh hưởng tới một host nào đó. Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) Độc lập với OSHạn chế của Network-Based IDSs: Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion. Không thể phân tích các traffic đã được mã hóa (vd: SSL, SSH, IPSec…) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. Không cho biết việc attack có thành công hay không. Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. 11/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS 5.1.1 Một vài hệ thống NIDS Network IDSs có thể chia làm 2 loại: hệ thống dựa trên các dấu hiệu và hệ thống dựa trên những sự việc bất thường. Không giống như hệ thống dựa trên dấu hiệu, hệ thống sau là một sự pha lẫn giữa những công nghệ khác nhau và gần như nhau. Thêm vào đó, những NIDSs lai tạo đó đều nhằm tới việc làm cầu nối cho những thiếu sót bằng cách sử dụng những mánh lới được sử dụng trong mỗi loại NIDSs. Trong thực tế, tất cả những hệ thống NIDSs thương mại hiện đại đều sử dụng loại NIDS dựa trên những sự bất thường để phát triển NIDS dựa trên dấu hiệu. Ví dụ như ISS RealSecure, Cisco IDS, Enterasys Dragon. 5.1.1.1 Signature matchers Giống như những phần mềm quét Vius truyền thông dựa trên chữ ký hệ hexa, phần lớn các IDS đều cố gắng phát hiện ra các cuộc tán công dựa trên cơ sở dữ liệu về dấu hiệu của tấn công. Khi một hacker tìm cách khai thác lỗ hổng đã biêt thì IDS cố gắng để đưa lỗi đó vào cơ sở dữ liệu của mình. Ví dụ như Snort, một IDS dựa trên dấu hiệu miễn phí được phát triển trên cả Unix và Windows. Bởi vì nó là một phần mêm mã nguồn mở nên Snort có tiềm năng phát triển cơ sở dữ liệu chữ ký nhanh hơn bất kỳ một công cụ có cơ sở dữ liệu nào khác. Các dấu hiện của Snort được sử dụng trong tất cả mọi thứ từ Fiwall thương mại đến các phần mềm trung gian middleware như Hogwash. • Cấu trúc của Snort bao gồm: • Một bộ giải mã gói tin. • Một thiết bị phát hiện. • Một hệ thống nhỏ logging và cảnh bá. Snort là một IDS trạng thái, có nghĩ là nó có thể tập hợp lại và ghi nhận các tấn công dựa trên phân đoạn TCP. Có thể ta gặp nhiều khái niệm Firewall đa trạng thái hoặc Firewall không trạng thái nhiều hơn là một hệ thống phát hiện xâm nhập. Tuy nhiên, cả 2 khái niệm này đều như nhau. Firewall không trạng thái và IDSs làm việc với các gói tin riêng lẻ trong khi 1 Firewall trạng thái lại cân nhắc đến các trạng thái kết nối. Ví dụ đơn giản nhất như sau: Một kẻ tấn công chia nhỏ các gói tin, thì IDS không trạng thái sẽ bỏ lỡ nó (bởi vì một dấu hiệu không bao giờ xuất hiện trong một gói tin) tuy nhiên nó lại bị IDS trạng thái phát hiện được bởi vì nó thu thập các phần đáng nghi không chỉ dựa trên 1 gói tin mà trên cả dòng dữ liệu trong quá trình kết nối. 12/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Tuy nhiên, những NIDSs trạng thái không tránh khỏi việc bỏ lỡ những dấu hiện xâm nhập. 5.1.1.2 Phát hiện những dấu hiệu bất thường. Phát hiện những dấu hiệu bất thường liên quan đến việc thiết lập một nền móng cơ bản của những hoạt động bình thường của hệ thống hoặc là các hành vi trên mạng, và sau đó cảnh báo chúng ta khi những sự chêch hướng xuất hiện. Lưu lượng trên mạng thay đổi một cách không đáng kể, chặng hạn như thay đổi trong thiết kế để hướng IDS theo định dạng host - base nhiều hơn là NIDS. Tuy nhiên, một số mạng lại có những cấu trúc thật khác thường đặc biệt là những mạng quân đội hoặc những mạng giao tiếp tình báo.Mặt khác những hành động xảy ra trong một server rất có thể không thể kiểm soát hết được, do đó mà mạng trở nên rất hỗn loạn. Nên lưu ý rằng, thỉnh thoảng chúng ta muốn tách rời những NIDS dựa trên những sự kiện bất thường thành những sự kiện chuyển động bất thường ( bị trêch hướng từ một miêu tả chuyển động đã biết) và giao thức sự kiện bất thường ( trệch hướng từ các chuẩn giao thức mạng). 5.2 Host - Based IDS: Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host 13/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm: • • • • • Các tiến trình. Các entry của Registry. Mức độ sử dụng CPU. Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. Dùng phần mềm để giám sát các tệp nhật ký của hệ thống. Ngay khi có bất kỳ thay đổi nào tới các tệp đó, Host - Based IDS sẽ so sánh thông tin với những gì được cấu hình trong chính sách, được thiết lập hiện tại và sau đó sinh ra các phản ứng lại với sự thay đổi đó. Một phương thức của Host - Based IDS giám sát các hoạt động trong thời gian thực. Một vài Host - Based IDS sẽ lắng nghe phát hiện tấn công mạng. Host - Based IDS phát hiện sự thay đổi trên các tệp và trên hệ điều hành. Nó giám sát kích thước và tổng kiểm tra các tệp để đảm bảo rằng các tệp hệ thống không bị thay đổi. Ngoài ra nó có thể ngăn chặn các cuộc gọi hệ thống không hợp lệ mà đang cố gắng tìm kiếm các lỗ hổng của hệ thống. Hình ảnh dưới đây minh họa cho việc sử dụng Host - Based IDS để bảo vệ máy chủ và máy trạm. Tập các nguyên tắc Host - Based IDS trên Mail server được tối ưu để bảo vệ cho các xâm nhập mail, trong khi đo các nguyên tắc cho web Server được tạo thích hợp để bảo vệ các xâm nhập web. 14/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Hình 6: Mô hình HIDS • Ưu điểm của Host - Based IDS: Do Host - Based IDS được cài đặt trên một máy trạm cụ thể và dùng thông tin cung cấp bởi hệ điều hành (OS) nên nó có khả năng mà NIDS không có đó là: • Kiểm tra tấn công: Vì Host - Based IDS sử dụng các tệp nhật ký của hệ thống để phát hiện xâm nhập, những tệp này chứa những sự kiện đã xảy ra, do đó Host - Based IDS có thể biết được cuộc tấn công có thành công hay không thành công mà Network - Based IDS khó có thể biết được điều này. • Giám sát các hành động đăng nhập và truy cập tệp tin. Host - Based IDS có thể giám sát các hành động của người dùng, cũng như hành động của thủ tục đăng nhập hoặc thoát ra được thực hiện, chúng sẽ ghi lại ở nhật ký đó dựa trên các chính sách hiện hành. Ngoài ra, Host - Based IDS có thể giám sát sự truy cập vào tệp tin và biết được thời điểm mở tệp tin đó. • Giám sát các thành phần của hệ thống: Host - Based IDS cho ta khả năng giám sát các thành phần của hệ thống quan trọng như các thành phần hệ thống có thể thực thi, chẳng hạn như các file DLL và NT Registry. Nhưng file đó có thể gây ảnh hưởng đến an toàn của hệ thống và mạng. Host - Based IDS có thể đưa ra các cảnh báo mỗi khi các file đó được thực thi. • Phát hiện và phản ứng gần thời gian thực: Hiện tại các Host - Based IDS có khả năng phát hiện và phản ứng ở gần thời gian thực, thay vì phải sử dụng một tiến trình để kiểm tra trạng thái và nội dung của nhật ký ở một thời gian xác định trước. Ngày nay các Host - Based IDS có thể phát hiện ngay khi các tệp nhật ký được cập nhật. Hạn chế của Host - Based IDS: • Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. • HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat...) • HIDS cần tài nguyên trên host để hoạt động. • HIDS có thể không hiệu quả khi bị tấn công DOS. • Đa số chạy trên hệ điều hành Windows. Tuy nhiên cũng đã có một số chạy được trên UNIX và những hệ điều hành khác. Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là điều khó khăn của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mêm, và cấu hình phần mêm trở thành công việc tốn thời gian và là những việc làm phức tạp. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó, trước khi 15/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. 5.2.1 Một vài hệ thống HIDS Host - based IDS có thể được phân chia lỏng lẻo thành các kiểm soát logfile, kiểm tra độ thích hợp và các module nhân của hệ thống. 5.2.1.1 Giám sát logfile: Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors), thiết bị này sẽ cố ngắng phát hiện những sự xâm nhập bằng cách phân tích các log sự kiện của hệ thống. Ví dụ như, một thiết bị giám sát logfile sẽ tìm kiếm những logfile ghi nhận những truy cập Apache để truy cập tới Apache để tìm ra đặc điểm của yêu cầu /cgi-bin/. Công nghệ này bị giới hạn bởi vì nó chỉ tìm kiếm trong các sự kiện đã được log - là những thứ mà kẻ tấn công rất dễ để thay thế. Thêm vào đó, hệ thống có thể bỏ qua các sự kiện hệ thống cấp thấp mà chỉ ghi lại các hoạt động cấp cao. Ví dụ như HIDS sẽ bỏ qua nếu kẻ tấn công chỉ đọc nội dung file như file /etc/passwd chẳng hạn. Điều này sẽ xảy ra nếu bạn không đặt file vào chế độ bảo vệ của hệ thống. Giám sát loglile là một ví dụ chính cho các hệ thống IDS dựa trên host bởi chúng thực hiện chức nắng giám sát của chúng trên chỉ một máy. Tuy nhiên, một hệ thống giám sát host logfile hoàn toàn đưa lại một số thuận tiện cho việc giám sát với các công cụ hệ thống được xây dựng, bởi vì HIDSs có kênh chuyển dịch tổng hợp an toàn tới một server trung tâm, không giống như những syslog thông thường khác. Nó cũng cho phép tích hợp những logs mà không bình thường để tích hợp trong một máy đơn. (chẳng hạn như log sự kiện của Windows). Mặt khác, NIDS thường quét toàn mạng trên mức độ gói tin, trực tiếp từ đường truyền giống như những sniffer. Bởi vậy NIDS có thể phối hợp với rất nhiều host có dữ liệu chuyển qua. Mỗi một loại đều có tác dụng và thuận tiện của chúng trong những trường hợp khác nhau. Thiết bị giám sát loglile nổi tiếng là Swatch ( Simple swatcher). Trong hầu hết các phàn mêm phân tích log chỉ log theo định kỳ, thì Swatch quét tất cả các đầu vào log và tạo báo cáo cảnh báo theo thời gian thực. Những công cụ khác như logswatch được tích hợp cùng với Rel Hat Linux thì rất tốt cho các thao tác ngoài. Tuy nhiên, mặc dù swatch đi cùng với nhiều bước có liên quan thì nó vẫn đòi hỏi nhiều tính năng động và cấu hinh khác với những công cụ khác. Giám sát logfile có thể được coi như một hệ thống phát hiện xâm nhập một cách đặc biệt. Logs cũng chứa rất nhiều thông tin không trực tiếp liên quan đến sự xâm nhập (chỉ là những thông tin mà NIDS nghe được trên đường truyền). Logs có thể được coi như một cái bể lớn chứa thông tin, một số thông tin bình thường (như thông tin về kết nối của người chịu trách nhiệm, thông tin cấu hình lại daemon...) và những thông tin đáng 16/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS ngờ chẳng hạn như thông tin về đăng nhập từ một IP động, truy cập Root một cách kỳ lạ... và rất nhiều những thông tin (malicious) chẳng hạn như RPC buffer overflow được ghi nhận từ rpc.statd. Xem xét và chọn lọc toàn bộ những thông tin đó chỉ dễ hơn một chút so với lắng nghe trên mạng và tìm kiếm những cuộc tấn công vào Web hoặc là các gói tin dị hình. Nếu tất cả các ứng dụng đều có một hệ thống log an toàn mà tất cả các sự kiện xấu đều được ghi nhận và đóng gói, những người phân tích log có thể không cần đến một hệ thống phát hiện xâm nhập. Trong thực tế,nếu một sự kiện có thể được chỉ ra trong một file log hoàn chỉnh thì nó có thể là một sự xâm nhập. Tuy nhiên, trong đời thực thì việc tìm kiếm từng phần trong logs đôi khi cũng giá trị như việc tìm kiếm từng phần trên đường dẫn. Thực tế thì việc đi kèm phân tích log hệ thống NIDS log là một đặc điểm rất có ích đối với người phân tích log. Người phân tích sẽ nhìn thấy được nhiều hơn là chỉ nhìn trên đường dẫn và tạo các chức năng của meta IDS. Ví dụ như, giải pháp quản lý như netForensics cho phép phân tích log qua các sự kiện đã được tổng hợp. 5.2.1.2 Giám sát tình toàn vẹn Một công cụ giám sát tính toàn vẹn sẽ nhìn vào các cấu trúc chủ yếu của hệ thống để tìm sự thay đổi. Ví dụ như, một giám sát toàn vẹn đó sẽ sử dụng 1 file hệ thống hoặc một khóa registry như “bait” để ghi lại các thay đổi bởi một kẻ xâm nhập. Mặc dù chúng có thời hạn, giám sát toàn vẹn có thể thêm các lớp bảo vệ cho một hệ thống phát hiện xâm nhập. Giám sát toàn vẹn phổ biến nhất đó là Tripwire. Tripwire có sẵn trong Windows và Unix và nó chỉ có thể giám sát một số các thuộc tính như sau: • • • • • • • Việc thêm, xóa, sửa đổi file. Cờ File (hidden, read-only, archive.....) Thời gian truy cập cuối cùng. Thời gian ghi cuối cùng. Thời gian thay đổi. Kích thước File. Kiểm tra Hash. Khả năng của Tripwire là rất lớn trên Unix và Windows bởi vì các thuộc tính khác nhau của các hệ thống file. Tripwire có thể được thay đổi để phù hợp với các đặc điểm mạng của bạn, và nhiều Tripwire agents có thể tập trung một cách an toàn các dữ liệu. Trong thực tế bạn có thể sử dụng Tripwire để giám sát bất kỳ một thay đổi nào trên hệ thống của bạn. Bởi vậy nó là một công cụ rất mạnh trong IDS arsenal của bạn. 17/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS Mấu chốt để kiểm tra tính toàn vẹn của hệ thống cho một thiết bị phát hiện xâm nhập đó là xác định ranh giới an toàn. Được thiết lập giống như 1 base line chỉ có thể được thiết lập trước khi hệ thống được kết nối với mạng. Nếu không có trạng thái an toàn thì công cụ này sẽ bị giới hạn rất nhiều, bởi vì những kẻ tấn công có thể đã giới thiệu những thay đổi của họ với hệ thống trước khi công cụ kiểm tra tính toàn vẹn hoạt động lần đầu tiên. Trong khi hầu như tất cả mọi công cụ đều yêu cầu một trạng thái baseline trước khi bị tấn công thì một vài công cụ lại dựa trên hiểu biết của chúng về các mối nguy hiểm. Một ví dụ đó là công cụ Chkrootkit. Nó kiểm tra những dấu hiệu xâm nhập phổ biến mà thường hiện trên các hệ thống bị tổn thương. Kiểm tra tính toàn vẹn cung cấp một giá trị lớn nhất nếu chúng có được một vài thong tin hướng dẫn. Trước hết, nó phải được phát triển trên một hệ thống hoàn toàn sạch sẽ sao cho nó không phải ghi nhận các trạng thái dở dang hoặc bị tổn thương như thông thường. Ví dụ, Tripwire nên được cài đặt trên một hệ thống khi nó còn nguyên bản từ nhà sản xuất với những ứng dụng cần thiết nhất, trước khi nó kết nối tới mạng. Bởi vậy, ý kiến về việc lưu trữ dữ liệu về trạng thái tốt trên các bản ghi được đặt trên các thiết bị lưu trữ chỉ đọc như CDROMs là một ý kiến rất hay. Chúng sẽ luôn có một bản copy đầy đủ để so sánh khi cần phải giải quyết vấn đề. Tuy nhiên, mặc dù có tất cả những biên pháp phòng ngừa đó thì hacker vẫn có thể vượt qua được tất cả hệ thống như thế. 6. Một số phương pháp phát hiện xâm nhập của IDS 6.1 Phương pháp bắt gói tin Phương pháp được sử dụng trong NIDS để rò tìm xâm nhập mạng bằng cách thiết lập các giao diện hoạt động trong chế độ Promiscuos và bắt tất cả các gói tin đi vào giao diện này. Như vậy, NIDS sẽ bắt các gói tin mà được truyền trong mạng cục bộ và chúng sẽ không nhìn thấy được các gói tin mà ở trong TCP/IP strack bên trong máy. Nhiều hệ thống HIDS cũng thực hiện phân tích truyền thông bằng kỹ thuật này, tuy nhiên chúng không phân tích toàn bộ gói tin mà chỉ phân tích những gói tin đi vào các máy có cài HIDS. 6.2 Phân tích nhật ký Với phương pháp này IDS sẽ tìm kiếm các hoạt động từ trong dữ liệu của các tệp nhật ký hệ thống và sẽ sinh ra các cảnh báo nếu tìm thấy các hành động không bình thường. 18/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS 6.3 Giám sát các cuộc gọi hệ thống Một cuộc gọi hệ thống chính là một yêu cầu tư một ứng dụng đối với nhân của một hệ điều hành HIDS có các module ở bên trong nhân của hệ điều hành và nó sẽ kiểm tra các hệ điều hành ác ý. Nếu HIDS nghi ngờ có cuộc gọi hệ thống ác ý thì nó sẽ ra một cảnh báo tới người quản trị. 6.4 Kiểm tra các tệp hệ thống Đây là một phương pháp mà HIDS hay sử dụng. Với phương pháp này HIDS sẽ lưu các dấu vết của các tệp hệ thống. Ví dụ như kích thước tệp thuộc tính tệp...nếu nhân của hệ điều hành phát hiện ra sự thay đổi các thuộc tính này mà người quản trị mạng không biết thì đây rất có thể là các hoạt động ác ý nào đó mà HIDS sẽ ra các cảnh báo đến người quản trị mạng. 7. HIDS làm gì khi phát hiện xâm nhập. 7.1 Phản ứng thụ động Là thành phần phản ứng lại của hệ thống IDS khi nó phát hiện ra một tấn công. Các hoạt động phản ứng này có thể ghi lại tấn công vào nhật ký hoặc gửi các cảnh báo tới nhà quản trị. Như vậy phản ứng thụ động của hệ thống IDS là một hành động gửi các cảnh báo đến nhà quản trị, căn cứ vào đó người quản trị sẽ đưa ra quyết định với những kiểu tấn công cụ thể. Bản thân IDS tự nó không đưa ra các phản ứng cụ thể trong một kiểu tấn công nào. 7.2 Phản ứng chủ động Các hệ thống IDS với khả năng phản ứng chủ động thì cũng có các hoạt động của phản ứng thụ động , Tuy nhiên khi phát hiện ra một cuộc tấn công thì chính IDS có thể được cấu hình để tạo ra các hoạt động phản ứng chủ động khác như: loại bỏ gói tin,block lại kênh truyền thông TCP nào đó hơn là chỉ đưa ra các cảnh báo tới người quản trị và chờ người quản trị đưa ra các hoạt động cụ thể. Như vậy, thiết bị IDS với khả năng phản ứng chủ động sẽ được cài đặt trong luồng truyền thông Inline , nó có thể loại bỏ các dữ liệu mà nó cho là một tấn công hoặc kết thúc một phiên TCP/IP... 19/21 Nghiên cứu hệ thống phát hiện xâm nhập mạng trái phép IDS 8. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS. Dưới đây là một số hệ thống mô tả vắn tắt. 8.1 Hệ thống Expert Hệ thống này làm việc trên một tập các nguyên tắc đã được đinh nghĩa từ trước để miêu tả các tân công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào một kiểm định và được dịch dưới dạng nguyên tắc If - Then - Else. 8.2 Phát hiện xâm nhập dựa trên luật. Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi. Một kịch bản tấn công có thể được mô tả , ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. 8.3 Phân biệt ý định người dùng Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống. Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Mất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo được sinh ra. 8.4 Phân tích trạng thái phiên Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại cho hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước. 8.5 Phương pháp phân tích thống kê Hành vi người dùng hay hệ thống được tính theo một số biến thời gian. Ví dụ, các biến như là : đăng nhập người dùng,đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU... Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng 20/21
- Xem thêm -

Tài liệu liên quan

Tài liệu vừa đăng