Ids

Tìm hiểu cơ chế hoạt động
của hệ thống phát hiện xâm nhập IDS
Demo hệ thống Snort
ManhND x PhucTT

1. Giới thiệu về hệ thống phát hiện xâm nhập (IDS)
2. Phân loại IDS
3. Cơ chế hoạt động (Triggering Mechanisms)
4. Demo với Snort

Giới thiệu về hệ
thống phát hiện
xâm nhập (IDS)
Khái niệm
IDS là một hệ thống giám sát lưu lượng
mạng nhằm phát hiện ra hiện tượng
bất thường, các hoạt động trái phép
xâm nhập vào hệ thống. IDS có thể
phân biệt được các cuộc tấn công từ
nội bộ hay tấn công từ bên ngoài.

Giới thiệu về IDS
Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
+ Tính chính xác (Accuracy)
+ Hiệu năng (Performance)
+ Tính trọn vẹn (Completeness)
+ Tính chịu lỗi (Fault Tolerance)
+ Khả năng mở rộng(Scalability)

Giới thiệu về (IDS)
Chức năng của IDS:
+ Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt
động khả nghi.
+ Cảnh báo: Khi phát hiện hoạt động bất thường của 1 truy cập, IDS sẽ đưa ra
cảnh báo về hệ thống cho người quản trị.
+ Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị
mà có những hành động chống lại kẻ xâm nhập.

Giới thiệu về hệ thống phát hiện xâm nhập
Quy trình hoạt động của IDS:
Bước 1: Một host tạo ra một gói tin mạng.
Bước 2: Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ.
Bước 3: Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin
nào có dấu hiệu vi phạm hay không.
Bước 4: Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo
cho một người hoặc một nhóm đã được chỉ định từ trước.

Giới thiệu về hệ thống phát hiện xâm nhập
Quy trình hoạt động của IDS:
Bước 5: Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
Bước 6: Các cảnh báo được lưu lại để tham khảo trong tương lai.
Bước 7: Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
Bước 8: Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải
là cuộc tấn công hay không.

Phân loại IDS Hệ thống IDS chia làm 2 loại:
● Network-based IDS (NIDS): sử
dụng dữ liệu kiểm tra từ một hoặc
một vài máy trạm để phát hiện
xâm nhập.
● Host-based IDS (HIDS): sử dụng
dữ liệu kiểm tra từ một máy trạm
đơn để phát hiện xâm nhập.

Phân loại IDS
Network based IDS - NIDS:
+ Hệ thống IDS kiểm tra các giao tiếp
trên mạng -> quét header -> kiểm
tra nội dung các gói -> để phát hiện
đoạn mã nguy hiểm hay các dạng
tấn công.

Phân loại IDS
Network based IDS - NIDS -Ưu điểm:
● Quản lý được cả một network segment (gồm nhiều host).
● Cài đặt và bảo trì đơn giản, không ảnh hưởng đến mạng.
● Tránh DOS ảnh hưởng tới một host nào đó.
● Có khả năng xác định lỗi ở tầng Network.

Phân loại IDS
Network based IDS - NIDS - Nhược điểm:
+ Có thể xảy ra trường hợp báo động giả.
+ Không thể phân tích các dữ liệu đã được mã hóa (VD: SSH, SSL...)
+ NIDS đòi hỏi phải được cập nhật các signture mới nhất để thực sự an toàn.
+ Có độ trễ giữa thời điểm bị tấn công với thời điểm phát hiện báo động.
+ Hạn chế lớn nhất là giới hạn băng thông.

Phân loại IDS
Host based IDS - HIDS:
- Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:
+ Các tiến trình
+ Các entry
+ Mức độ sử dụng CPU
+ Tình trạng ram

Phân loại IDS
Host based IDS - HIDS - Ưu điểm:
+ Có khả năng xác định user liên quan đến event.
+ HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thì không.
+ Có thể phân tích các dữ liệu mã hóa.
+ Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

Phân loại IDS
Host based IDS - HIDS - Nhược điểm:
+ Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
+ Khi OS bị sập do tấn công, đồng thời HIDS cũng sập.
+ HIDS phải được thiết lập trên từng host cần giám sát.
+ HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat..).
+ HIDS cần tài nguyên trên host để hoạt động.
+ HIDS có thể không hiệu quả khi bị DOS.

Cơ chế hoạt động
(Triggering
Mechanisms)
Hai cơ chế hoạt động:
+ Phát hiện bất thường
+ Phát hiện lạm dụng
Giám sát hoạt động xâm nhập xảy ra:
+ Host based
+ Network based

Cơ chế hoạt động (Triggering Mechanisms)
Phát hiện bất thường: Hệ thống thực hiện so sánh các sự kiện thu bắt được với
các hành vi bình thường của đối tượng.
Sự khác biệt giữa phát hiện bất thường và phát hiện lạm dụng là:
● Phát hiện bất thường sử dụng kỹ thuật dựa trên các đặc điểm của hành vi
bình thường để phát hiện các đặc điểm hành vi xấu.
● Lạm dụng: Dựa trên các hành vi xấu đã được biết đến trước đó để phát hiện
các hành vi xấu được lặp lại.

Phát hiện bất thường - Ưu điểm:
+ Phát hiện các cuộc tấn công không biết trước.
+ Phát hiện các cuộc tấn công nội gián hoặc đánh cắp tài khoản dễ dàng.
+ Hệ thống dựa trên các cấu hình tùy chỉnh, nên rất khó để kẻ tấn công biết
chắc chắn hoạt động nào đặt cảnh báo và không đặt cảnh báo.
+ Phát hiện sự xâm nhập thông qua học máy.

Phát hiện bất thường - Nhược điểm:
+ Phương pháp phát hiện bất thường yêu cầu tập dữ liệu huấn luyện lớn.
+ Phát hiện bất thường tạo ra một số lượng lớn về cảnh báo sai đối với các
hành vi chưa dự đoán được của người dùng hay của mạng.

Phát hiện xâm nhập lạm dụng: Bằng cách so sánh dấu hiệu của các đối tượng
đang quan sát với dấu hiệu của các hình thức xâm nhập đã biết trước.
Hệ thống phát hiện xâm nhập lạm dụng xác định sự xâm nhập bằng cách kết
hợp giữa các sự kiện thu được với các mẫu hoặc dấu hiệu của các cuộc tấn công.
Cơ chế của hệ thống:

Phát hiện xâm nhập lạm dụng - Ưu điểm:
+ Các bộ phát hiện lạm dụng rất ít cảnh báo sai.
+ Dự đoán được các công cụ hay kỹ thuật tấn công một cách nhanh chóng.
+ Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật tấn
công.

Phát hiện xâm nhập lạm dụng - Nhược điểm:
+ Để hiệu quả trong việc phát hiện xâm nhập thì phương pháp này phải
thường xuyên cập nhật dấu hiệu của các hình thức xâm nhập mới.
+ Các dấu hiệu dùng để phát hiện nếu không được thiết kế chặt chẽ thì có thể
sẽ không thể phát hiện ra các cuộc tấn công “biến thể”.

Ids

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Ids

Similar to Ids (20)

More from ducmanhkthd

More from ducmanhkthd (6)

Ids

Editor's Notes