An toàn mạng: Hệ phát hiện xâm nhập - Võ Việt Minh Nhật

Chia sẻ: Vu Van Nghi | Ngày: | Loại File: PPT | Số trang:45

Thêm vào BST

Báo xấu

277
lượt xem 95
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mở đầu Để bảo vệ tài nguyên, các công ty không chỉ dựa trên những hệ thồng bị động như tường lửa, VPN, các kỹ thuật mã hóa hay một số thứ khác, mà người ta còn cần các công cụ hay thiết bị chủ động khác trên mạng: đó chính là sự ra đời của các hệ IDS Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: An toàn mạng: Hệ phát hiện xâm nhập - Võ Việt Minh Nhật

An toàn mạng: Hệ phát hiện xâm nhập Vo Viet Minh Nhat Khoa CNTT – Trường ĐHKH
Nội dung trình bày  Mở đầu về sự phát hiện xâm nhập  Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm nhập IDS dựa trên mạng  Một số phương pháp tấn công qua mặt hệ thống IDS  Kết luận
Mục đích trình bày này nhằm  Bài Trình bày một sô khái niệm về hệ IDS  Giải thích sự khác nhau giữa những hệ IDS  Mô tả chi tiết hệ IDS dựa trên host  Mô tả chi tiết hệ IDS dựa trên mạng  Trình bày một số phương pháp tấn công qua mặt  hệ thống IDS
Mở đầu Để bảo vệ tài nguyên, các công ty không chỉ dựa  trên những hệ thồng bị động như tường lửa, VPN, các kỹ thuật mã hóa hay một số thứ khác, mà người ta còn cần các công cụ hay thiết bị chủ động khác trên mạng: đó chính là sự ra đời của các hệ IDS Có nhiều loại xâm nhập khác nhau: ai đó cố gắng tấn  công vào, lạm dụng hay khai thác một hệ thống. Do đó, các chính sách an toàn do đó cần phải định nghĩa ai hay cái gì được xem như là một sự cố gắng tấn công vào, lạm dụng hay khai thác một hệ thống
Mở đầu Có hai kiểu kẻ xâm nhập tiềm tàng  Kẻ xâm nhập bên ngoài: được xem như các crackers  Kẻ xâm nhập bên trong : xuất hiện từ bên trong các  tổ chức IDSs là các giải pháp hiệu quả cho việc phát  hiện 2 loại xâm nhập này. Các hệ IDS thực hiện liên tục trên mạng, thông báo cho người quản trị mạng khi phát hiện thất một cố gắng thâm nhập bất thường nào đó
Mở đầu IDSs có 2 thành phần chính  IDS sensors: bao gồm các phần mền hay phần cứng được sử  dụng để tập hợp và phân tích các luồng dữ liệu. IDS sensors được phân thành 2 loại  IDS sensors dựa trên mạng: có thể được gắn với một thiết bị mạng, hoạt tiết bị độc lập hoạt là một module giám sát luông dữ liệu IDS sensors dựa trên host: là một agent đặc biệt thực  hiện trên một server để giám sát hệ điều hành Phần quản lý IDS: hoạt động như một hệ tập hợp các cảnh  báo và thực hiện các cấu hình hay triền khai các dịch vụ cho các IDS sensors trên mạng.
Mở đầu hai cách tiếp cận IDS thường được sử  Có dụng: Misuse Detection IDS (MD-IDS)  Anomaly Detection IDS (AD-IDS) 
Misuse Detection IDS Misuse Detection IDS (MD-IDS) là tiêu điểm chính  trong việc đánh giá sự tấn công dựa trên các dấu hiệu (signature) và kiểm tra dấu vết. Attack signature mô tả một phương pháp thông  thường được thiết lập để tấn công hệ thống. Ví dụ tấn công TCP flood bắt đầu với số lượng lớn hoặc các phiên kết nối TCP không thành công. Nếu MD- IDS có thể biết tấn công TCP flood là gì thì nó có thể cảnh báo hoặc ngăn cản kẻ tấn công.
Misuse Detection IDS
Misuse Detection IDS Phương thức này phân tích các hoạt động của hệ thống, tìm  kiếm các sự kiện giống với mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. => phương pháp dò dấu hiệu (Signature Detection). Ưu điểm:   phát hiện các cuộc tấn công nhanh và chính xác, không đ ưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Nhược điểm:   không phát hiện được các cuộc tấn công không có trong m ẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
Anomaly Detection IDS Detection IDS (AD-IDS) là kỹ thuật  Anomaly dò thông minh, nhận dạng ra các hành động không bình thường của mạng.  Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng.
Các kỹ thuật dò sự không bình thường Threshold detection (phát hiện ngưỡng):  thực hiện đếm các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, như login với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gởi vượt quá mức,…
Các kỹ thuật dò sự không bình thường Self learning detection (chế độ tự học): bao gồm  hai bước: khi hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học để thiết lập 1 profile về cách phản ứng của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết lập. Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của mình. Nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại tới khi cuộc tấn công kết thúc.
Các kỹ thuật dò sự không bình thường Anomaly protocol detection (phát hiện sự bất thường  của giao thức): căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các dấu hiệu bất thường của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng để thu thập thông tin của hacker, việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra  các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
Một ví dụ của kỹ thuật dò sự không bình thường
Các loại IDS 2 nhiều loại IDS  Có Hệ phát hiện xâm nhập IDS dựa trên host  Hệ phát hiện xâm nhập IDS dựa trên mạng 
Hệ phát hiện xâm nhập IDS dựa trên mạng NIDS là một thiết bị thông minh được đặt phân tán  khắp trên mạng nhằm giám sát các traffic đi qua nó. NIDS có thể là thiết bị phần cứng hoặc phần mềm.  NIDS thường có 2 interface, một để lắng nghe mọi  traffic không được phân loại trên kênh truyền thông, một còn lại làm nhiệm vụ phân tích lưu lượng đó dựa trên tập hợp các mẫu (signature) được thiết lập trước để nhận dạng đó có phải là luồng dữ liệu bất bình thường hay không. Nếu đặt NIDS trước firewall thì sẽ giám sát được tất  cả traffic network đi vào mạng.
Hệ phát hiện xâm nhập IDS dựa trên mạng
Hệ phát hiện xâm nhập IDS dựa trên mạng 2 loại phản ứng được thực hiện tại tầng  Có mạng: Passive Response (phản ứng bị động)  Active Response (phản ứng chủ động) 