Tiểu luận Ứng dụng truyền thông và An ninh thông tin Hệ thống phát hiện xâm nhập IDS

1.1 Khái niệm về IDS IDS Intrusion Detection System- hệ thống phát hiện xâm nhập là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị..

MÔN HỌC: ỨNG DỤNG

TRUYỀN THÔNG VÀ AN NINH THÔNG TIN

GIẢNG VIÊN: THS TÔ NGUYỄN NHẬT QUANG

Đề tài: Intrusion Detection System (IDS) –

Hệ thống phát hiện xâm nhập

Các phần chính

 1 Khái niệm về IDS

 2 Chức năng của IDS

 3 Kiến trúc của IDS

 4 Quy trình hoạt động của IDS

 5 Phân loại các mô hình IDS

 6 Các hành động tấn công – xâm nhập

 7 Phân tích trong IDS

 8 Các kỹ thuật phân tích – xử lí thường dùng trong IDS

 9 Phát hiện hành vi bất thường

 10 Những hạn chế của IDS

1 KHÁI NIỆM VỀ IDS

1.1 Khái niệm về IDS

 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị

 IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker)

 IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy

cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline

(thông số đo đạc chuẩn của hệ thống) để tìm ra các hành vi khác thường

1.2 Lịch sử ra đời của

IDS

 Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson

 Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức

từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ

 Cho đến tận năm 1996 , các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu

 Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với

sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.

 Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển.

1.3 Phân biệt những hệ thống

không phải là IDS

 Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn

đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiêm tra lưu lượng mạng.

 Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật).

 Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm Mặc dù những tính năng mặc định

có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả.

 Tường lửa (firewall)

 Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius…

2 CHỨC NĂNG CỦA IDS

2 Chức năng của IDS

Chức năng quan trọng nhất của IDS là: giám sát – cảnh báo

 Giám sát: lưu lượng mạng và các hoạt động khả nghi

 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị

2 Chức năng của IDS

Chức năng chính của IDS được cụ thể bởi các hành động như:

 Nhận ra những hành vi giống như những cuộc tấn công mà hệ thống

đã được cài đặt từ trước

 Phân tích thống kê những luồng traffic không bình thường.

 Đánh giá và kiểm tra tính toàn vẹn của các file được xác định.

 Thống kê và phân tích các user và hệ thống đang hoạt động.

 Phân tích luồng traffic

 Phân tích event log (ghi chú sự kiện).

2 Chức năng của IDS

quản trị xác định được các cuộc tấn công là tấn công từ bên trong hay bên ngoài

phản hồi này được người quản trị lập trình sẵn

3 KIẾN TRÚC CỦA IDS

3 Kiến trúc của IDS

Một IDS bao gồm:

 Trung tâm điều khiển (The Command Console)

 Bộ cảm biến (Network Sensor)

 Bộ phân tích gói tin (The Network Tap)

 Thành phần cảnh báo (Alert Notification)

3.1 Trung tâm điều khiển

(The Command Console)

giám sát và quản lí Nó duy trì kiểm soát thông qua các thành phần của IDS, và

Trung tâm điều khiển có thể được truy cập

từ bất cứ nơi nào Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã

3.2 Bộ cảm biến

(Network Sensor)

thiết bị mạng hoặc máy chuyên dụng trên các đường mạng thiết yếu Bộ cảm biến

có một vai trò quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng

3.3 Bộ phân tích gói tin

(Network Tap)

Bộ phân tích gói tin là một thiết bị phần

địa chỉ IP, kiểm soát các luồng dữ liệu trên

hành động xâm nhập

3.4 Thành phần cảnh báo

(Alert Notification)

những cảnh báo tới người quản trị Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiều dạng như: cửa sổ pop-

up, tiếng chuông, email, SNMP

3.5 Vị trí đặt IDS trong hệ thống mạng

Tùy vào quy mô doanh nghiệp và mục đích mà

ta có thể thiết kế vị trị cũng như kiến trúc của IDS khác nhau.

4 QUY TRÌNH HOẠT

ĐỘNG CỦA IDS

 Một host tạo gói tin.

 Bộ cảm biến (Netword Sensor) trên hệ thống mạng đọc gói tin (Bộ cảm biến được đặt ở vị trí sao cho có thể đọc được gói tin này).

 Chương trình phát hiện xâm nhập trên bộ cảm biến (Network Tap)

so sánh gói tin với các tín hiệu được cài đặt trước Khi có dấu hiệu xâm nhập, một cảnh báo được khởi tạo và gửi đến Trung tâm điều khiển (The Command Console).

 Trung tâm điều khiển nhận cảnh báo và chuyển cảnh báo đến người hay nhóm người được chỉ định từ trước để giải quyết.

 Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.

 Cảnh báo được lưu lại.

 Một báo cáo tóm tắt được tạo ra với chi tiết của sự cố này.

5 PHÂN LOẠI CÁC MÔ

HÌNH IDS

5 Phân loại các mô hình IDS

 Host – based IDS (H-IDS)

 Network – based IDS (N-IDS)

5.1 Host – based IDS (H-IDS)

5.1 H-IDS

 Lợi thế:

 Có khả năng xác đinh user liên quan tới một event.

 HIDS có khả năng phát hiện các cuộc tấn công diễn

ra trên một máy, NIDS không có khả năng này.

 Có thể phân tích các dữ liệu mã hoá.

 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

5.1 H-IDS

 Hạn chế:

 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.

 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".

 HIDS phải được thiết lập trên từng host cần giám sát.

 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).

 HIDS cần tài nguyên trên host để hoạt động.

 HIDS có thể không hiệu quả khi bị DOS.

5.1 H-IDS

Centralized H-IDS

(Mô hình tập trung)

Distributed H-IDS (Mô hình phân tán)

5.2 Network – based IDS (N-IDS)

5.2 N-IDS

 Lợi thế:

 Quản lý được cả một network segment (gồm nhiều host)

 "Trong suốt" với người sử dụng lẫn kẻ tấn công

 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

 Tránh DOS ảnh hưởng tới một host nào đó.

 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).

 Độc lập với OS

 Không cho biết việc attack có thành công hay không.

 Một trong những hạn chế là giới hạn băng thông

6 CÁC HÀNH ĐỘNG TẤN

CÔNG XÂM NHẬP

6 Các hành động tấn công xâm nhập

Ngày này hoạt động tấn công xâm nhập rất đa dạng và phức tạp Kỹ thuật ngày càng tinh vi và hệ thống của bạn ngày

càng mong manh

7 PHÂN TÍCH TRONG IDS

7 Phân tích trong IDS

IDS có hai loại phân tích chính là phân tích kiểm định (sử dụng trong IDS khoảng thòi gian) và phân tích online (sử dụng trong môi trường IDS thời gian thực)

7.1 Xử lí kiểm định

theo 1 chu kì được xác định trước, dữ liệu sẽ được phân tích

7.2 Xử lí online

thập

8 CÁC KỸ THUẬT PHÂN

TÍCH – XỬ LÍ DỮ LIỆU THƯỜNG DÙNG TRONG IDS

 Hệ thống Expert

 Phân tích dấu hiệu

 Phương pháp Colored Petri Nets

 Phân tích trạng thái phiên

 Phương pháp phân tích thống kê

 Neural Networks

 Phân biệt ý định người dùng

 Computer immunology Analogies

 Machine learning

 Việc tối thiểu hóa dữ liệu

9 PHÁT HIỆN HÀNH VI

BẤT THƯỜNG

10 HẠN CHẾ CỦA IDS

10 Hạn chế của IDS

Cung cấp một “Giải pháp thần kì” Quản lí sự cố phần cứng

Điều tra một cuộc tấn công

Phân tích toàn vẹn 100%

CHÂN THÀNH CẢM ƠN THẦY VÀ CÁC BẠN ĐÃ

LẮNG NGHE