Chương 4.
PHÁT HIỆN XÂM NHẬP
CƠ SỞ DỮ LIỆU TRÁI PHÉP
GV: Nguyễn Phương Tâm


MỤC TIÊU
Giới thiệu một số công cụ phát hiện xâm nhập trái
phép
Trình bày hướng tiếp cận dựa vào các hệ chuyên gia
Trình bày các xu hướng chung trong việc phát hiện
xâm nhập

Trường CĐ CNTT HN Việt Hàn

2/81

Nguyễn Phương Tâm


NỘI DUNG
4.1 Giới thiệu
4.2 Các công cụ tự động phát hiện xâm nhập
4.3 Hướng tiếp cận dựa vào hệ chuyên gia
4.4 Kiểm toán trong các hệ thống quản trị CSDL tin
cậy
4.5 Các xu hướng chung trong phát hiện xâm nhập

Trường CĐ CNTT HN Việt Hàn

3/81


5/81

Nguyễn Phương Tâm


4.1 GIỚI THIỆU
Phát hiện xâm nhập là gì?
 Phát hiện xâm nhập là khả năng nhận dạng xâm
nhập do các cá nhân gây ra, bao gồm: những người
sử dụng hệ thống bất hợp pháp (“tội phạm máy
tính” - hacker) và những người sử dụng hợp pháp
nhưng lại lạm dụng các đặc quyền của mình (“đe
doạ bên trong”).

Trường CĐ CNTT HN Việt Hàn

6/81

Nguyễn Phương Tâm


4.1 GIỚI THIỆU
Ví dụ:
 Sửa đổi trái phép các tập tin để có thể truy nhập vào
dữ liệu.
 Truy nhập hoặc sửa đổi trái phép các tập tin người
sử dụng và thông tin.
 Sửa đổi trái phép các bảng của hệ thống (chẳng hạn
như sửa đổi các bảng định tuyến để chối bỏ sử dụng

Các mô hình này cho phép so sánh profile (trong đó có
lưu các hành vi bình thường của một người sử dụng)
một cách có thống kê với các tham số trong phiên làm
việc của người sử dụng hiện tại. Các sai lệch 'đáng kể'
so với hành vi bình thường sẽ được hệ thống IDS báo
cáo lại cho chuyên gia an ninh, các sai lệch được đo
bằng một ngưỡng (do mô hình xác định hoặc chuyên
gia an ninh đặt ra).

Trường CĐ CNTT HN Việt Hàn

9/81

Nguyễn Phương Tâm


4.1 GIỚI THIỆU
Mô hình phát hiện sự lạm dụng:
Mô hình này trợ giúp việc so sánh các tham số trong
phiên làm việc của người sử dụng với các mẫu tấn công
đã có, được lưu trong hệ thống.

Trường CĐ CNTT HN Việt Hàn

10/81

Nguyễn Phương Tâm


4.1 GIỚI THIỆU

Nguyễn Phương Tâm


4.1 GIỚI THIỆU
Một số IDS:
 Các IDS dựa vào việc phân tích các vết kiểm toán
do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ
chuyên gia phát hiện xâm nhập) của SRI.
 MIDAS của Trung tâm an ninh quốc gia.
 Haystack System của Thư viện Haystack.
 Wisdom & Sense của thư viện quốc gia Alamos...

Trường CĐ CNTT HN Việt Hàn

13/81

Nguyễn Phương Tâm


4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Các hệ thống phát hiện xâm nhập (IDS) được sử dụng
kết hợp với các kiểm soát truy nhập, nhằm phát hiện
ra các xâm phạm hoặc các cố gắng xâm phạm có thể
xảy ra.
Kiến trúc cơ bản của một IDS

Trường CĐ CNTT HN Việt Hàn

14/81

Mức nghi ngờ
(Suspicion level)

15/81

Nguyễn Phương Tâm


4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Các bước xử lý
Tiền
xử lý

Phân
tích bất
thường

So
sánh
mẫu

Cảnh
báo

Trường CĐ CNTT HN Việt Hàn

16/81

Nguyễn Phương Tâm

 Định nghĩa các mẫu sử dụng thông thường của các
tham số hệ thống (như hoạt động của CPU, bộ nhớ
và sử dụng ổ đĩa) và so sánh chúng các giá trị thực
trong quá trình sử dụng hệ thống.

Trường CĐ CNTT HN Việt Hàn

18/81

Nguyễn Phương Tâm


4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Từ các vết kiểm toán ghi lại được, các IDS tiến hành
một số kiểu phân tích như sau:
 So sánh hoạt động của người sử dụng với các
profile để phát hiện sự bất thường,
 So sánh với các phương pháp tấn công đã biết để
phát hiện lạm dụng và một số chương trình thì tiến
hành cả hai.

Trường CĐ CNTT HN Việt Hàn

19/81

Nguyễn Phương Tâm


4.2 CÁC CÔNG CỤ TỰ ĐỘNG


21/81

Nguyễn Phương Tâm


4.2 CÁC CÔNG CỤ TỰ ĐỘNG
PHÁT HIỆN XÂM NHẬP
Các hướng tiếp cận của IDS
 Đưa các cửa sập (trapdoors) vào trong hệ thống.
 Xác định các quy tắc (hướng tiếp cận phổ biến).
 Sử dụng mô hình dựa vào lập luận.
 Định nghĩa các hành vi được chấp nhận.

Trường CĐ CNTT HN Việt Hàn

22/81

Nguyễn Phương Tâm


CÁC HƯỚNG TIẾP CẬN CỦA IDS
 Xác định các quy tắc là hướng tiếp cận phổ biến.
 Định nghĩa các mẫu hành vi cho các lớp người sử dụng,
 Phát triển các IDS chuyên gia. Các phân tích trợ giúp có
thể kết hợp các kiến thức chuyên gia (về các vấn đề an
toàn) với khả năng xử lý chính xác và kết hợp một khối
lượng lớn dữ liệu của hệ thống.
 Hạn chế:
• Quy tắc chính là dữ liệu kiểm toán được tìm kiếm cho các

CÁC HƯỚNG TIẾP CẬN CỦA IDS
 Sử dụng mô hình dựa vào lập luận (model-based reasoning).
 Lợi ích: chính là khả năng chọn lọc dữ liệu kiểm toán của nó:
dữ liệu liên quan được tập trung lại, do đó giảm bớt số lượng
dữ liệu được mang ra xem xét. Tuy nhiên, chúng ta có thể tuân
theo các hoạt động ngăn ngừa chống xâm nhập, khi hệ thống
có khả năng dự báo.
 Hạn chế: Với các hệ chuyên gia, hướng tiếp cận bị hạn chế, bởi
vì nó tìm kiếm các kịch bản xâm nhập đã biết, nhưng vẫn có
thể tồn tại nhiều điểm yếu và các tấn công không được biết
trước. Do vậy, cần nghiên cứu kết hợp mô hình dựa vào lập
luận với việc phát hiện sự không bình thường mang tính thống
kê.
Trường CĐ CNTT HN Việt Hàn

25/81

Nguyễn Phương Tâm