BÀI TẬP LỚN : MẬT MÃ VÀ AN TOÀN DỮ LIỆU

HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS
(INTRUSION DETECTION SYSTEM)
GIẢNG VIÊN: PGS-TS. TRỊNH NHẬT TIẾN
HỌC VIÊN: BÙI AN LỘC – K20HTTT
NỘI DUNG
Tổng quan về ninh mạng
Xâm nhập (Intrusion)
Hệ thống IDS
SNORT
Triển khai thực tế
Tổng quan an ninh mạng

5 nội dung chính của bảo mật:

Xác thực (authentication)

Ủy quyền (authorization)

Cẩn mật (confidentiality)

Toàn vẹn (integrity)

Sẵn sàng (availability)
Tổng quan an ninh mạng

Các nguy cơ tấn công đối với hệ thống:

Có cấu trúc (structured threat)


Network packet listening

Stealing information

Unauthorized network access

Uses of IT resources for private purpose
Xâm nhập – Hình thức

Tác động không được ủy quyền đến tài
nguyên hệ thống:

Falsification of identity

Information altering and deletion

Unauthorized transmission and creation of data

Configuration changes to systems and n/w services

Từ chối dịch vụ (DoS/DDoS)

Ping flood/Mail flood

Buffer overflow

Remote system shutdown
Kịch bản xâm nhập
Thu thập
thông tin mức

thống giám sát lưu thông mạng (có thể là
một phần cứng hoặc phần mềm), có khả
năng nhận biết những hoạt động khả nghi
hay những hành động xâm nhập trái phép
trên hệ thống mạng trong tiến trình tấn
công (FootPrinting, Scanning, Sniffer…),
cung cấp thông tin nhận biết và đưa ra cảnh
báo cho hệ thống, nhà quản trị.
Các chức năng của IDS
1
2
3
IDS
1.Nhận diện
- Các nguy cơ có thể xảy ra
- Các hoạt động thăm dò hệ thống
- Các yếu khuyết của chính sách bảo mật
2. Ghi nhận thông tin, log để phục vụ
cho việc kiểm soát nguy cơ
-
Ghi lại và lưu giữ log các sự kiện khả
nghi xảy ra
-
Báo cáo cho quản trị hệ thống
3. Ngăn chặn vi phạm chính sách bảo
mật
Yêu cầu đối với IDS
Chính xác
Hiệu năng
Trọn vẹn

negative
instances)
Ma trận trạng thái của IDS
Sự kiện khi một thông điệp thông
báo hệ thống phát hiện một hành
động xâm nhập thật sự
TRUE-POSITIVE
FALSE-POSITIVE
FALSE-NEGATIVETRUE-NEGATIVE
Ma trận tiêu chuẩn true-false của IDS.
Sự kiện khi một thông điệp thông
báo hệ thống phát hiện một hành
động xâm nhập nhưng lại không
phải là xâm nhập thật sự.
Sự kiện khi hệ thống không
sinh ra thông điệp thông báo
và không có hành động xâm
nhập thật sự.
Sự kiện khi hệ thống không
sinh ra thông điệp thông báo
trong khi có hành động xâm
nhập thật sự đang diễn ra.
Các thành phần của IDS
Sensor/Agent
•
Giám sát & phân tích các hoạt động
•
Sensor/NIDS; Agent/HIDS
Management
Server

Signature-base Abnormaly-base
Stateful Protocol
Analysis
Có thể chia làm ba phương pháp
nhận diện chính là: Signature-base
Detection, Anormaly-base Detection
và Stateful Protocol Analysis
Các mô hình hệ thống IDS
HIDS (Host-based Intrusion Detection System)
NIDS (Network-based Intrusion Detection
System)
DIDS (Distributed Intrusion Detection System)
Wireless IDS (WIDS)
NBAS (Network Behavior Analysis System) &
HoneyPot IDS
Hệ thống IDS có thể triển khai theo các mô hình sau (phụ thuộc vào qui
mô, phạm vi, tính chất của hệ thống, lớp mạng cần bảo vệ).
Các mô hình IDS

HIDS (Host-based IDS): Tập trung &
Phân tán

Giám sát:

Các gói tin đi vào

Các tiến trình.

Các entry của Registry.


(Agent).

Không có khả năng phát
hiện các cuộc dò quét
mạng (Nmap, Netcat…).

Có thể không hiệu quả
khi bị DOS.
Các mô hình IDS

NIDS (Network-based Intrusion
Detection System)
Thiết lập Sensor kiểu Inline Thiết lập Sensor kiểu passive
Mô hình IDS - NIDS

Lợi thế

Quản lý được cả một
network segment

Trong suốt với người sử
dụng lẫn kẻ tấn công

Cài đặt và bảo trì đơn giản,
không ảnh hưởng tới mạng

Tránh DoS ảnh hưởng tới
một host nào đó

Có khả năng xác định lỗi ở

Các mô hình IDS

WIDS (Wireless Intrusion Detection
System)
Các mô hình IDS

NBAS(Network Behavior Analysis
System): là một NIDS nhận diện các nguy cơ tạo
ra các luồng dữ liệu bất thường trong mạng