Tweet
Phát hiện xâm nhập là một tập hợp các kĩ thuật và phương pháp được sử dụng để phát hiện các hành vi đáng nghi ngờ cả ở trên mạng cũng như ở mức độ host.
Chức năng cơ bản của các hệ thống IDS là phát hiện người xâm nhập, có hai dạng IDS là dạng :
• IDS dựa trên máy chủ (host-based IDS)
• IDS dựa trên mạng (network-based IDS)
Và cũng có hai phương pháp nhằm phát hiện xâm nhập:
• Phát hiện dựa trên các dấu hiệu
• Phát hiện dựa trên sự bất thường
Mỗi dạng IDS có thể sử dụng một trong hai phương pháp phát hiện xâm nhập. Hầu hết tất cả những hệ thống IDS có thể được mô tả và đánh giá bằng cách kiểm tra dạng IDS và phương pháp được sử dụng để phát hiện xâm nhập.
Các loại hệ thống phát hiện xâm nhập
Có 3 dạng chính:
• Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)
• Hệ thống phát hiện xâm nhập dựa trên mạng (network IDS)
• Hệ thống lai
Mỗi loại IDS`có những thuận lợi và những khó khăn riêng.
-Dạng phát hiện dựa trên máy chủ
Chức năng
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host) .
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi , hay thực hiện từ cổng điều khiển (console) , nhưng với một kẻ xâm nhập có hiểu biết ,có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
Những hạn chế của HIDS
Hệ thống IDS dựa trên máy chủ có 4 điểm yếu chính:
• Khả năng quản lý
• Tầm nhìn vi mô về các sự tấn công mạng
• Những máy chủ bị thỏa hiệp (Compromised hosts)
• Những giới hạn của hệ điều hành
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi các điều khiển phiên bản , bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau, Do đó trước khi chọn một hệ thống IDS, bạn phải chắc là nó phù hợp và chạy được trên tất cả hệ điều hành.
-Hệ thống IDS dựa trên mạng
Chức năng
Hệ thống IDS dựa trên mạng sử dụng đầu dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những đầu dò này đánh hơi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.
Những hạn chế của NIDS
Hệ thống phát hiện xâm nhập dựa trên mạng có 4 điểm yếu chính:
• Băng thông
• Sự phân mảnh gói tin và tái hợp lại
• Thực thi chế độ TTL
• Sự mã hóa
Một trong những hạn chế là giới hạn băng thông. Những đầu dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng . Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy . Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển , thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì, gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo . Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
-Những hệ thống IDS lai (Hybrid IDS)
Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung tâm quản trị (centralized management or director platform).
Càng nhiều thông tin thì càng tốt , nhưng quá nhiều thông tin từ nhiều nguồn có thể là trở ngại lớn cho công tác quản lý. Việc thể hiện thông tin thu thập từ bộ cảm biến dựa trên mạng và phần mềm dựa trên máy chủ có thể là một thử thách cho các nhà sản xuất hệ thống IDS lai.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các hệ IDS lai còn có thể kết hợp được hai cơ chế (phương pháp) cả dựa trên dấu hiệu và cơ chế phát sinh bất thường (signature-based and anomaly-triggering Mechanisms). Cơ chế phát sinh mô tả cách hệ thống phát hiện xâm nhập.
Chức năng cơ bản của các hệ thống IDS là phát hiện người xâm nhập, có hai dạng IDS là dạng :
• IDS dựa trên máy chủ (host-based IDS)
• IDS dựa trên mạng (network-based IDS)
Và cũng có hai phương pháp nhằm phát hiện xâm nhập:
• Phát hiện dựa trên các dấu hiệu
• Phát hiện dựa trên sự bất thường
Mỗi dạng IDS có thể sử dụng một trong hai phương pháp phát hiện xâm nhập. Hầu hết tất cả những hệ thống IDS có thể được mô tả và đánh giá bằng cách kiểm tra dạng IDS và phương pháp được sử dụng để phát hiện xâm nhập.
Các loại hệ thống phát hiện xâm nhập
Có 3 dạng chính:
• Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)
• Hệ thống phát hiện xâm nhập dựa trên mạng (network IDS)
• Hệ thống lai
Mỗi loại IDS`có những thuận lợi và những khó khăn riêng.
-Dạng phát hiện dựa trên máy chủ
Chức năng
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host) .
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi , hay thực hiện từ cổng điều khiển (console) , nhưng với một kẻ xâm nhập có hiểu biết ,có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này.
Những hạn chế của HIDS
Hệ thống IDS dựa trên máy chủ có 4 điểm yếu chính:
• Khả năng quản lý
• Tầm nhìn vi mô về các sự tấn công mạng
• Những máy chủ bị thỏa hiệp (Compromised hosts)
• Những giới hạn của hệ điều hành
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi các điều khiển phiên bản , bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau, Do đó trước khi chọn một hệ thống IDS, bạn phải chắc là nó phù hợp và chạy được trên tất cả hệ điều hành.
-Hệ thống IDS dựa trên mạng
Chức năng
Hệ thống IDS dựa trên mạng sử dụng đầu dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những đầu dò này đánh hơi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.
Những hạn chế của NIDS
Hệ thống phát hiện xâm nhập dựa trên mạng có 4 điểm yếu chính:
• Băng thông
• Sự phân mảnh gói tin và tái hợp lại
• Thực thi chế độ TTL
• Sự mã hóa
Một trong những hạn chế là giới hạn băng thông. Những đầu dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng . Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy . Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển , thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.
Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì, gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo . Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
-Những hệ thống IDS lai (Hybrid IDS)
Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung tâm quản trị (centralized management or director platform).
Càng nhiều thông tin thì càng tốt , nhưng quá nhiều thông tin từ nhiều nguồn có thể là trở ngại lớn cho công tác quản lý. Việc thể hiện thông tin thu thập từ bộ cảm biến dựa trên mạng và phần mềm dựa trên máy chủ có thể là một thử thách cho các nhà sản xuất hệ thống IDS lai.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các hệ IDS lai còn có thể kết hợp được hai cơ chế (phương pháp) cả dựa trên dấu hiệu và cơ chế phát sinh bất thường (signature-based and anomaly-triggering Mechanisms). Cơ chế phát sinh mô tả cách hệ thống phát hiện xâm nhập.