Hệ thống phát hiện xâm nhập
Intrusion detection systems
IDS
Phát hiện xâm nhập
Hệ thống phát hiện xâm nhập
•
IDS là một thống giám sát lưu thông mạng, các hoạt động
khả nghi và cảnh báo cho hệ thống, nhà quản trị.
•
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các
lưu thông bất thường hay có hại bằng cách hành động đã
được thiết lập trước như khóa người dùng hay địa chỉ IP
nguồn đó truy cập hệ thống mạng,…
Hệ thống phát hiện xâm nhập
Ta có thể hiểu tóm tắt về IDS như sau :

Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ
o
Giám sát : lưu lượng mạng + các hoạt động khả nghi.
o
Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
o
Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà
quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập
và phá hoại.

Chức năng mở rộng :
o
Phân biệt : "thù trong giặc ngoài“
o
Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết

mạng

Tránh DoS ảnh hưởng tới một Host nào đó

Có khả năng xác định lỗi ở tầng Network (trong
mô hình OSI)

Độc lập với OS
Network Intrusion Detection System
(NIDS)

Hạn chế của NIDS:

Có thể xảy ra trường hợp báo động giả (false positive),
tức không có intrusion mà NIDS báo là có intrusion

Không thể phân tích các traffic đã được encrypt (vd:
SSL, SSH, IPSec,…)

NIDS đòi hỏi phải được cập nhật các signature mới
nhất để thực sự an toàn

Có độ trễ giữa thời điểm bị attack với thời điểm phát
báo động. Khi báo động được phát ra, hệ thống có thể
đã bị tổn hại.

Không cho biết việc attack có thành công hay không.
Network Intrusion Detection System
(NIDS)
•

(HIDS)

Lợi thế của HIDS:

Có khả năng xác đinh user liên quan tới một event

HIDS có khả năng phát hiện các cuộc tấn công
diễn ra trên một máy, NIDS không có khả năng
này.

Có thể phân tích các dữ liệu mã hoá

Cung cấp các thông tin về host trong lúc cuộc tấn
công diễn ra trên host này.
Host Intrusion Detection System
(HIDS)

Hạn chế của HIDS:

Thông tin từ HIDS là không đáng tin cậy ngay khi sự
tấn công vào host này thành công.

Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị
"hạ“

HIDS phải được thiết lập trên từng host cần giám sát

HIDS không có khả năng phát hiện các cuộc dò quét
mạng (Nmap, Netcat,…)


Phương pháp này dựa trên những hiểu biết về tấn công.
Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấn công
thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu
tấn công có thể được tìm thấy trong các bản ghi hoặc đầu
vào của luồng dữ liệu theo một cách dễ hiểu. Một kịch bản
tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện
kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm
kiếm đã lấy được trong cuộc kiểm định.
o
Phương pháp này sử dụng các từ tương đương trừu tượng
của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng
cách sử dụng chuỗi văn bản chung hợp với các cơ chế.
Điển hình, nó là một kỹ thuật rất mạnh và thường được sử
dụng trong các hệ thống thương mại
•
Ví dụ như Stalker, Real Secure, NetRanger, Emerald
eXpert-BSM
Các kỹ thuật xử lý dữ liệu
•
Phương pháp Colored Petri Nets
o
Thường được sử dụng để tổng quát hóa các tấn công
từ những hiểu biết cơ bản và để thể hiện các tấn công
theo đồ họa.
o
Hệ thống IDIOT của đại học Purdue sử dụng Colored
Petri Nets.
o
Với kỹ thuật này, các quản trị viên sẽ dễ dàng hơn
trong việc bổ sung thêm dấu hiệu mới. Mặc dù vậy,

có hiệu quả.
o
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được
phát triển bằng cách sử dụng profile người dùng ngắn hạn hoặc
dài hạn. Các profile này thường xuyên được nâng cấp để bắt
kịp với thay đổi trong hành vi người dùng. Các phương pháp
thống kê thường được sử dụng trong việc bổ sung trong IDS
dựa trên profile hành vi người dùng thông thường
Các kỹ thuật xử lý dữ liệu
•
Neural Networks
o
Sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên
cứu về mối quan hệ giữa các vector đầu vào - đầu ra và tổng quát hóa
chúng để rút ra mối quan hệ vào/ra mới.
o
Phương pháp neural network được sử dụng cho phát hiện xâm nhập,
mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng
(người dùng hay kẻ xâm phạm).
o
Thực ra các phương pháp thống kê cũng một phần được coi như neural
networks.
o
Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn
giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong
việc nghiên cứu các mối quan hệ một cách tự động. Các thực nghiệm
đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng.
o
Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử
dụng rộng rãi trong cộng đồng phát hiện xâm nhập.