lecture8_ids hệ thống phát hiện xâm nhập

IDS làm việc như thế nào? Mọi cuộc tấn công đều có: đặc tính, mẫu và hành vi->ký hiệu  Phát hiện ra cuộc tấn công hay xâm nhập bằng cách so khớp các dấu hiệu của cuộc tấn công với các

Hệ thống phát hiện xâm

nhập(IDS)

Ngô Văn Công

IDS(Intrusion detect system)

Phát hiện ra các cuộc tấn công và thăm dò máy tính

 Ngăn chặn

 Phát hiện

 Đề phòng các cuộc tấn công

 Đánh giá thiệt hại

Instrution detection: quy trình xác định

một sư xâm nhập đã được thử, đang xuất hiện, hay đã xuất hiện

IDS làm việc như thế nào?

 Mọi cuộc tấn công đều có: đặc tính, mẫu và hành vi->ký hiệu

 Phát hiện ra cuộc tấn công hay xâm nhập bằng cách so khớp các dấu hiệu của cuộc tấn công với các tập tin dấu hiệu trong csdl

Lỗi False-positive phát sinh khi mà IDS

xem một hành vi bình thương trên mạng như là một sự tấn công của hacker

Lỗi False-negative xuất hiện khi IDS bỏ

qua một cuộc xâm nhập vào hệ thống và xem xét nó như là hành động bình thường trong mạng

IDS vs Firewall

Thường có sự nhầm lẫn giữa chức năng

của IDS và Firewall

Firewall hoạt động bằng cách ngăn chặn

mọi thứ sau đó người dùng sẽ lập trình để chó phép một số mục nào đó được đi qua

Firewall cho phép người dùng nội bộ có thể truy cập ra bên ngoài nhưng ngăn chăn

người dùng bên ngoài truy cập vào hệ

thống mạng nội bộ

Firewall không phải là một hệ thống động

để có thể phán đoán một cuộc tấn công

đang được thực hiện

IDS vs Firewall(tt)

 IDS là hệ thống động hơn, nó có khả năng phát hiện

ra các cuộc tấn công vào mạng

Xem xét ví dụ:

 Một nhân viên của công ty nhận được email của một nhân viên khác nói rằng anh ta tìm được một tài liệu đã bị mất từ lâu, nhân viên mở email mà nhấp chuột vào tập tin thực thi đính kèm, tài liệu thực thi có một Trojan đính kèm với nó, Trojan sẽ mở một kết nối đến máy tính của hacker, lúc này firewall sẽ không ngăn chặn hacker thực hiện cuộc tấn công bằng cổng chung 80 Vì firewall chỉ cấu hình để ngăn chặn các kết nối ra bên ngoài tới một số port, nó xem các kết nối HTTP tới webserver chỉ là một kết nối khác

 Nếu hệ thống IDS được cài đặt thì nó có thể đưa ra cảnh báo như là hành động không thường xuyên trong mạng

Anomaly-Detection Technique

 Dựa trên giả thuyết là tất cả các hành động không

giống với một tập các mẫu hành vi thì là các hành

động bất thường

 IDS nhận biết tiểu sử các hành động bình thường trên mạng nếu bất kỳ hành vi nào không giống tiểu sử này thi là môt hành vi không bình thường và đưa ra một cảnh báo

 Tạo một vạch ranh giới cho các hành vi bình thường, thường được sinh ra dựa thống kê ghi nhận từ hành vì nhập/xuất, sử dụng CPU, bộ nhớ, hoạt động của người dùng.

Misuse-Detection Technique

 Xem các cuộc tấn cộng như các mẫu và dấu hiệu

 Duy trì một cơ sở dữ liệu các dấu hiệu của các cuộc

tấn công

 Một cảnh báo phát sinh khi một đợt tấn công nào đó giống với mẫu trong csdl.

 Hoạt động giống như hệ thống antivirus

 Không phát sinh lỗi false-positive nhưng không phát hiện được các kiểu tấn công chưa được phát hiện trước đó

Các kiểu IDS khác nhau

IDS mạng(Network-based

Một số thuất ngữ dùng trong IDS

 Traditional Sensor Architecture

 Distributed network-node architecture

Traditional Sensor

 Bộ cảm biến gắn vào mạng và bắt các gói tin của mạng

Traditional sensor architecture

 Các bước một gói tin đi qua IDS mạng

1 Khi máy tính muốn trao đổi dữ liệu với máy tính khác thì quá

trình trao đổi dữ liệu bắt đầu

2 Các gói tin sẽ được lắng nghe trên mạng thông qua các bộ

cảm biến trên mạng

3 Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin với các

mẫu định nghĩa trước, nếu giống nhau thì một cảnh báo sẽ được đưa ra và chuyển đến màn hình dòng lệnh

4 Thông qua màn hình dòng lệnh bộ phận bảo mật sẽ cảnh

báo thông qua các phương thức khác nhau: email, SNMP.

5 Một câu trả lời sẽ được phát sinh môt cách tự động hoặc bởi

IDS mạng

Distributed Network-Node Architecture

Bộ cảm biến gắn vào mỗi máy tính trên

 Các bước gói tin trong giải pháp thứ 2

1 Khi một máy tinh muốn giao tiếp với máy tính khác, gói

tin sẽ được trao đổi

2 Gói tin sau đó sẽ bị lắng nghe trên mạng bằng các bộ

cảm biến gắn trên máy tính đích

3 Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin này

với các mẫu định nghĩa trước, nếu tương đương thì một cảnh báo sẽ được đưa ra

4 Thông qua mành hình dòng lệnh, bộ phận bảo mật se

thông báo cho người dùng

5 Một câu trả lời sẽ được phát sinh tự động bởi hệ thống

trả lời

6 Lưu trữ cảnh báo(mẫu) để xem lại và đánh giá sau này

7 Tạo ra báo cáo tổng kết đặc tính của hoạt động

(tt)

Lợi ích từ IDS mạng

Cản trở(Deterrence)

Phát hiện(Detection)

Cơ chế thông báo và trả lời tự động

 Cấu hình lại firewall/router

 Hủy bỏ kết nối

IDS Host

IDS Host dùng các thông tin của máy tính đích(host)

Dữ liệu nguồn

 Các sự kiện hệ thống(System event log)

 Các sự kiện ứng dụng(Application Log)

Hiệu quả phát hiện các xâm nhập bên

trong mạng

Tấn công được phát hiện bởi IDS host

Lạm dụng đặc quyền(misuse of privileged rights): xuất hiện khi người dùng được cấp quyền root, admin và dùng quyền này vào mục đích không hợp pháp

Sử dụng sai đặc quyền cao:Quản trị hệ

thống thường cấp đặc quyền cao cho

người dùng để họ có thể cài đặt các ứng

dụng đặc biệt

Kiến trúc IDS host

Có hai kiến trúc cho IDS host

 Target Agent

• Là một chương trình nhỏ chạy ở trên máy đích agent trên máy đích cho phép hệ thống đích thực hiện các họat động có đặc quyền cục bộ

• Chạy như tiến trình nền trong Unix và như dịch vụ trong window

• Chạy một hoặc nhiều agent trên hệ thống đích

 Centralized Host-Based Architecture

Centralized Host-Based Architecture

Cách thức hoạt động

 1 Khi một hành động được thực hiện trong hệ

thống(file đang được truy cập hay là một chương trình đang chạy) thì một sự kiện được tạo ra

 2 Agent của hệ thống đích sẽ gửi tệp tới trung tâm

điều khiển cách một khoảng thời gian và trên đường truyền bảo mật

 3 Bộ máy phát hiện sẽ so sánh mẫu hành vi của tập tin với những hành vi được định nghĩa trước

 5 Nếu như hành vi mà trùng với các mẫu hành vi đã định nghĩa trước, một cảnh báo sẽ được sinh ra và

chuyển cho các hệ thống con để đưa ra các thông báo, trả lời và lưu trữ

 6 Văn phòng bảo mật sẽ đưa ra thông báo thông wa các phương tiện truyền thông(giấy tờ, email )

 7 Đưa ra một câu trả lời

 8 Cảnh báo được lưu trong csdl

 10 Report sẽ được phát sinh, tổng kết cảnh báo và

các sự kiện

Thuận lợi của IDS host

Phát hiện ra lạm dụng tài nguyên

Cản trở, ngăn chặn sự xâm phạm

Đánh giá mức thiệt hại

Ngăn chặn xâm hại từ bên trong

Các đánh gia về IDS host

Hiệu năng(Performance):Là cơ chế phân tán, xử lý dữ liệu bắt nguồn từ các host

Do kiến trúc của IDS host mà hiệu năng của host có thể bị vi phạm

window NT workstation:1MB, window NT server:8MB, Unix 20MB, xem xét một

mạng gồm 10 windowNT server, 5 Unix server, 200 window NT workstation, 50 unix workstation tổng tòan bộ dữ liệu

phát sinh lên đến 800 MB một ngày

đã được định nghĩa trước.

Thao tác với các bản ghi của Agent

 hacker có thể xâm nhập vào các agent và thay đổi thông tin bên trong.

So sánh IDS mạng và IDS host

Mạnh Yếu

Trả lời

Phát hiện yếu các xâm nhập bên ngoài

Phát hiện yếu các xâm nhập bên trong

Phát hiện tốt xâm nhập từ bên trong

Phát hiện tốt đ/với xâm nhập từ bên ngoài

Phát hiện

Ngăn cản mạnh đối với xâm nhập bên trong

Ngăn cản yếu đối với xâm nhập bên trong Ngăn cản

IDS Host IDS Mạng

Thuận lợi

Honeypot: Công cụ bổ sung cho IDS

 Công cụ khác dùng để phát hiện ra các cuộc xâm nhập vào hệ thống

 Hoạt động dựa trên nguyên tắc lừa dối

 Mục đích nhằm lừa tin tặc bằng cách giả lập một máy tính có thể bị xâm nhập trên mạng.

 Honeypot dùng bởi IDS để phát hiện ra các cách khác nhau làm tổn thương hệ thống

 Khi tin tặc tấn công thì các hoạt động của nó sẽ ghi trong log file.

 IDS dựa trên log file này để phát hiện các kiểu tấn công tương tự.

 Dùng cho mục đích nghiên cứu

 Triên khai để phân tích các hoạt động tấn

công của tin tặc

 Giả lập môi trường để cho tin tặc có thể tương tác với

Muti-protocol deception system

 Hệ thống cung cấp cơ chế giả lập các hệ thống khác, honeypot chạy trên window NT có thể giả lập môi

trường của hệ điều hành Unix

Full system: IDS làm việc với honeypot

Depth, Offset

Từ khóa Depth cho phép người viết luật

chỉ ra bao xa trong gói tin mà snort tìm

cho một mẫu(pattern) nào đó

Từ khóa offset cho phép người viết luật chỉ

ra nơi bắt đầu tìm mẫu trong gói tin

 Giảm thời gian tìm kiếm

Tùy chọn

 Bên cạnh từ khóa content, có một số tùy chọn

khác trong phần đầu của gói tin có thể được dùng

để lọc lại các tin hiệu

 Tuy nhiên những tùy chọn này chỉ được kiểm tra sau khi đã kiểm tra trong phần nội dung

 Một vài tùy chọn

 dsize: kiểm tra kích thước phần dữ liệu(payload size)

 Flags: kiểm tra có sử hiện diện của một số TCP bit

 Flow: Áp dụng luật cho những lưu thông được kết nối

Các luật

Alert tcp $out any -> $in any

(msg:”SCAN cybercop os PA12 attempt”;

www.themegallery.com