VIỆN ĐẠi học mở HÀ NỘi khoa công nghệ thông tin đỒ Án tốt nghiệP ĐẠi họC
tải về 0.74 Mb.
|
- Điều hướng trang này:
- Network Base IDS (NIDS)
- Host Based IDS (HIDS)
1.7.4.Phân loại IDSCó hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phầm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai. Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì mọt hiện trạng hiện hành cho một hệ thống. Khi hai yếu tổ này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập. Các hệ thống IDS khác nhau đến dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. Quá trình phát hiện có thể được mô tả bởi ba yếu tổ cơ bản nền tảng sau:
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng và những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không? 
Hinh 3.20. Hệ thống Network Base IDS Được đặt giữa kết nối hệ thống mang bên trong và mạng bên ngoài để giảm sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cố chai khi lưu lượng mạng hoạt động ở mức cao.
Hạn chế của Network-Based IDSs:
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu đó cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu do được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các hacker cố gắng che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Một giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dứ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại có thể tùy ý miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cahcs gọi nhieuf gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
Bằng cách cài đặt một phần mềm trên tất cả các máy chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thóng như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lich sử log và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc gọi tấn công có thành công hay không? Thêm nữa là, hệ thốn dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứu lưu lượng mạng (network traffic) nào cả. Hệ thóng dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng nào hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một số hacker có kinh nghiệm xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hacker có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. 
Hình 3.21.Hệ thống HIDS Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lý lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giảm sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức và các server trong vùng DMZ – thường là mục tiêu bị tấn công đầu tiên. Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all).
Các thông số thay đổi này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. Lợi thế của HIDS:
Hạn chế của HIDS: Thông tin từ HIDS là không đáng tin cậy ngay khi host này bị tấn công. Khi OS bị “hạ” do tấn công công, đồng thời HIDS cũng bị “hạ”. HIDS phải được thiết lập trên từng host cần giám sát. HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…) HIDS cần tài nguyên trên host để hoạt động. HIDS có thể không hiệu quả khi bị DOS. Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có một số chạy trên UNIX và những hệ điều hành khác. Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ hông phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị điều khiển thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không tạo ra được cảnh báo nào. Phần mềm IDS phải được cài đặt trên mỗi hệ thọng mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Đây là một vấn để rất khó khăn khi mà phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc chắn là phù hợp và chạy được trên tát cả các hệ điều hành.
Каталог: books -> luan-van-de-tai -> luan-van-de-tai-cd-dh luan-van-de-tai-cd-dh -> Thế kỷ 21, cùng với sự phát triển nh vũ bão của khoa học kỹ thuật, của công nghệ thông tin. Sự phát triển kinh tế tác động đến tất cả mọi mặt đời sống kinh tế xã hội luan-van-de-tai-cd-dh -> Phần một : Tình hình thu hút vốn đầu tư trên thị trường vốn việt nam hiện nay luan-van-de-tai-cd-dh -> TRƯỜng đẠi học cần thơ khoa công nghệ BỘ MÔN ĐIỆn tử viễn thôNG luan-van-de-tai-cd-dh -> Em xin chân thành cảm ơn! Vị Xuyên, ngày 19 tháng 5 năm 2012 sinh viêN luan-van-de-tai-cd-dh -> PHẦn I mở ĐẦu tầm quan trọng và SỰ ra đỜi của giấY luan-van-de-tai-cd-dh -> Đề tài: Tìm hiểu về vấn đề sử dụng hợp đồng mẫu trong đàm phán ký kết hợp đồng mua bán ngoại thương và thực tiễn ở Việt Nam luan-van-de-tai-cd-dh -> Đề tài phân tích thực trạng kinh doanh xuất khẩu cà phê nhân của các doanh nghiệP luan-van-de-tai-cd-dh -> Giao tiếp máy tính và thu nhận dữ liệU ĐỀ TÀI: TÌm hiểu công nghệ 4g lte luan-van-de-tai-cd-dh -> TRƯỜng đẠi học văn hóa hà NỘi khóa luận tốt nghiệP tải về 0.74 Mb. Chia sẻ với bạn bè của bạn:
|