Phần 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS.

Trong phần này mình sẽ trình bày với các bạn về một số vấn đề: 1. 2. 3. 4. 5. 6. Định nghĩa IDS Chức năng của IDS Kiến trúc của IDS Phân loạiIDS Công cụ hỗ trợ IDS Các kỹ thuật xử lý trong IDS 7. Sự khác nhau cơ bản về IDS và IPS Phần 2: CẤU HÌNH VÀ THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP VỚI SNORT IDS SOFTWARE. 1. Giới thiệu về Snort IDS Software 2. Cài đặt và Cấu hình(Trên cả hai môi trường:Linux và Windows) 3. Mô hình ứng dụng Snort.

I.Định nghĩa IDS
1.1. Định nghĩa IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. 1.2. Phân biệt những hệ thống không phải là IDS Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiêm tra lưu lượng mạng. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật). • Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. • Tường lửa . • Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius

II. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác…IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm được những có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS: • Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống.

nhiệm vụ đã được phân cấp. Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.Đánh giá chất lượng của việc thiết kế hệ thống Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiển nhiên. Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. phân tích được toàn bộ thông lượng.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình . Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline. ngăn chặn được sự truy nhập thông tin bất hợp pháp. tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng.Ngăn chặn sự gia tăng của những tấn công . giữ cho thông tin không bị lộ ra ngoài.Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng và các hoạt động khả nghi. Kiến trúc hệ thống IDS Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống. . Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng: .Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. đưa ra các thông báo hợp lý. Bảo vệ tính khả dụng. ngǎn chặn thành công và chính sách quản lý mềm dẻo. • Cung cấp thông tin về sự xâm nhập. đưa ra những chính sách đối phó. • Bảo vệ tính bí mật.Chức năng mở rộng: Phân biệt: "thù trong giặc ngoài" tấn công bên trong và tấn công bên ngoài. cảm biến tối đa. chính xác. • Bảo vệ tính riêng tư. Một hệ thống IDS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh. tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.Bổ sung những điểm yếu mà các hệ thống khác chưa làm được . sửa chữa… Nói tóm lại ta có thể tóm tắt IDS như sau: . III. khôi phục.

Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa.tổng quát chung như sau: 3.3. Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công.a). Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân .1. Khi một hành động xâm nhập được phát hiện. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp ( Hình 2. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).1. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác.

3. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail.2. thành phần phân tích gói tin(Dectection). Bộ tạo sự kiện (hệ điều hành. việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản.3.…) – theo các chính sách bảo mật của các tổ chức (Hình 2. Trong trường hợp nào đó. định tuyến các kết nối đến bẫy hệ thống. Một IDS là một thành phần nằm trong chính sách bảo mật. Điều này cũng liên quan một chút nào đó đến các gói mạng. ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện.1b).c) – một bộ tạo sự kiện. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai. . có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc.IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session. backup hệ thống.2. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. 3. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu (Hình 2. Giữa các nhiệm vụ IDS khác nhau. ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. mạng. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. cơ sở hạ tầng hợp lệ. Kiến trúc của hệ thống phát hiện xâm nhập IDS Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection).

các tham số cần thiết (ví dụ: các ngưỡng). nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. đặc biệt được trang bị sự phát hiện các tấn công phân tán. gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Một phần trong các tác nhân. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host). gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. tất cả chúng truyền thông với nhau. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Thêm vào đó. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. vì vậy có thể phát hiện được các hành động nghi ngờ. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. . Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân.Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. cơ sở dữ liệu giữ các tham số cấu hình. profile hành vi thông thường. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Ngoài ra còn có các thành phần: dấu hiệu tấn công. Thêm vào đó. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị).

Network Base IDS (NIDS) Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu.Ngoài ra còn có 1 số điểm chú ý sau: . . bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập . .Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở trên.Kiến trúc. vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp. Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau: .Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công.Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng.Phân loại IDS Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra. kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. .Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát . nghĩa là đã có sự xâm nhập. kiểm tra báo cáo. đáp trả. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. . phát hiện. IV.Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường. báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện. phân tích. +Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát.Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công. . Khi hai yếu tố này xuất hiện sự khác biệt.

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn . tức không có intrusion mà NIDS báo là có intrusion. hệ thống có thể đã bị tổn hại. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.Quản lý được cả một network segment (gồm nhiều host) . Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Host Based IDS (HIDS) Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng. SSH. như các file log và những lưu lượng mạng thu thập được. lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống.Có thể xảy ra trường hợp báo động giả (false positive). thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không.Cài đặt và bảo trì đơn giản. sắp xếp lại những lưu lượng đó cũng như phân tích chúng. IPSec…) . Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. . .Không thể phân tích các traffic đã được encrypt (vd: SSL. Nếu có hiện tượng phân mảnh chồng chéo. hệ thống dựa trên máy chủ có thể ghi nhận những . Khi báo động được phát ra. .Tránh DOS ảnh hưởng tới một host nào đó. nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) . Hệ thống dựa trên máy chủ cũng theo dõi OS. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. những cuộc gọi hệ thống.Độc lập với OS Hạn chế của Network-Based IDSs: . Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy.Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi mà mạng phát triển. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. không ảnh hưởng tới mạng . Một trong những hạn chế là giới hạn băng thông. Lợi thế của Network-Based IDSs: . Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn. Thêm nữa là."Trong suốt" với người sử dụng lẫn kẻ tấn công . Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ.Không cho biết việc attack có thành công hay không.xa hơn.

Các tiến trình.HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. .Có thể phân tích các dữ liệu mã hoá. . Lợi thế của HIDS: .Đa số chạy trên hệ điều hành Window. .thường là mục tiêu bị tấn công đầu tiên.HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap.việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi. nhưng với một kẻ xâm nhập có hiểu biết. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống. .Một vài thông số khác. . Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. .HIDS phải được thiết lập trên từng host cần giám sát . . Không phải tất cả các cuộc tấn công được thực hiện qua mạng.Các entry của Registry.HIDS cần tài nguyên trên host để hoạt động. chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. .Có khả năng xác đinh user liên quan tới một event.Khi OS bị "hạ" do tấn công. Netcat…).HIDS có thể không hiệu quả khi bị DOS. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được. Thay vì giám sát hoạt động của một network segment. Hạn chế của HIDS: . và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. .Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này. đồng thời HIDS cũng bị "hạ". HIDS thường được đặt trên các host xung yếu của tổ chức. kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. .Mức độ sử dụng CPU. bảo trì phần mềm. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. . HIDS chỉ giám sát các hoạt động trên một máy tính. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính.Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. . NIDS không có khả năng này. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. và các server trong vùng DMZ . HIDS thường được cài đặt trên một máy tính nhất đinh. Nếu . bao gồm (not all): . hay thực hiện từ cổng điều khiển (console). .Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản. có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.

Cũng vậy. Phân biệt các tấn công thành công. định nghĩa các nguyên tắc quan trọng về lưu lượng mạng cho IDS phát hiện dấu hiệu bất thường. . Việc lưu trữ các báo cáo kiểm định phải tránh lưu trữ trong file bời vì những kẻ xâm nhập có thể sử dụng tính năng đó để tạo nhiều thay đổi không mong muốn. Xử lý kiểm định Có nhiều vấn đề liên quan đến việc xử lý kiểm định (bản ghi sự kiện). điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. IDS có thể triển khai trong môi trường thời gian thực được thiết kế cho việc kiểm tra online và phân tích các sự kiện hệ thống và hoạt động người dùng. Nhìn chung. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả. Các hệ thống xử lý bản ghi có thể cũng có lỗ hổng trong tấn công từ chối dịch vụ (DoS). Mở rộng sự truy cập và dấu hiệu người dùng. do đó chúng sử dụng hai phương pháp phát hiện xâm nhập khác nhau.Các kỹ thuật xử lý trong IDS Xử lý kiểm định online IDS có thể hoạt động một cách liên tục hoặc có chu kỳ (tương ứng là IDS thời gian thực và IDS khoảng thời gian).máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Rõ ràng rằng. Phân biệt các điểm yếu của chính hệ thống. Phân tích kiểm định là phương pháp phổ biến được sử dụng bởi các hệ điều hành một cách định kỳ. một thiết lập chu kỳ lưu thích hợp cho các file kiểm định hiện hành cũng không phải là một nhiệm vụ dễ dàng. chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. VI. điều này phụ thuộc vào giải pháp IDS cụ thể và cỗ máy tương quan của nó. Nó cũng khó dự đoán kích thước file phải lớn như thế nào vì người có kinh nghiệm chỉ có thể tạo một ước lượng từ đầu đến cuối. từ đó chúng đưa ra các cơ chế thẩm định không xác thực và không thích hợp do việc tràn không gian trống của hệ thống. Nên giữ một số lượng nào đó các bản sao ghi sự kiện trên mạng. Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Các nguyên nhân chính phải có chức năng thẩm định này là: • • • • • • Phát hiện các biểu hiện tấn công để phân tích rút kinh nghiệm. việc ghi mỗi sự kiện có nghĩa là tiêu hao một chút tài nguyên hệ thống (cả hệ thống nội bộ và mạng liên quan). mặc dù nó có thể phải thêm vào các overhead cho cả hệ thống và mạng. Ngoài ra. Chính vì vậy thực hiện nén bản ghi sẽ là một cách làm tăng tải trọng hệ thống. Ngược lại. Đẩy lùi các tấn công tiềm tàng đơn giản bằng cách làm cho chúng biết về sự tồn tại các ý nghĩa của việc kiểm định. Phát hiện hoạt động xâm nhập có định kỳ. Trong một môi trường hỗn tạp. các file lưu trữ cần phải được lưu như bản copy cho các mục đích phân tích phục hồi. Việc chỉ rõ các sự kiện được kiểm định là một vấn đề khó khăn bời vì còn có nhiều loại tấn công có thể chưa được phát hiện. Do đó trước khi chọn một hệ thống IDS.

một IDS như vậy đôi khi bỏ lỡ các gói vì thực tế. Một ví dụ về nghiên cứu gói ở đây là khi các địa chỉ cổng nguồn và đích được thiết lập là 21. có thể phân tích các gói ở trong tải trọng của nó. ACID có một bộ tạo hàng đợi người dùng. Phương pháp IDS sự kiện bản ghi cần phải có các khả năng dưới đây: Cho ghi các tham số bản ghi sự kiện và hoạt động người dùng một dễ dàng. thiết lập một công cụ IDS xử lý “online” cần đến một số lượng lớn RAM bởi vì không có sự lưu trữ dữ liệu nào được sử dụng ở đây. Số lượng dữ liệu được lựa chọn bằng bộ phát hiện rất nhỏ bởi vì nó chỉ quan sát các nội dung nhớ. luồng gói mạng sẽ được kiểm tra một cách liên tục.Bảng phân tích cơ sở dữ liệu xâm nhập) – là một cỗ máy phân tích PHP để tìm kiếm và xử lý cơ sở dữ liệu những tình tiết được tạo ra bằng nhiều công cụ bảo mật khác nhau như IDS. cung cấp tùy chọn ràng buộc cho các cơ chế ghi sự kiện khi thiếu không gian trống hoặc tấn công DoS. một IDS thực hiện thẩm định các sự kiện hệ thống online. Xử lý online Với việc sử lý online. Điều này tạo sự phức tạp trong tính toán.• • • • • Việc báo cáo kiểm định có thể cung cấp một biểu mẫu phòng chống cho người dùng chính đáng. Điều này không tuân theo chi tiết kỹ thuật FTP bởi vì số cổng nguồn phải lớn hơn 1024. Do vậy chỉ có một phần nhỏ thông tin được phân tích cho một chuỗi hoặc giá trị nào đó đang tìm kiếm. Vì vậy. Một ví dụ khác có thể là loại dịch vụ giá trị 0. Tại cùng một thời điểm. Điều này có thể thực hiện bằng việc kiểm tra các địa chỉ IP khởi tạo kết nối hoặc bằng việc kiểm tra sự kết hợp cờ TCP/IP không thích hợp (để bắt các gói không hợp với các chuẩn đã biết). cụ thể là trong các header của chúng. Tiêu tốn tài nguyên hệ thống tối thiểu có thể cho phép với các mục đích kiểm định. ACID (Analysis Console for Intrusion Databases. Với một hệ thống chuyên gia kèm theo. Phương pháp chính được sử dụng trong phát hiện thời gian thực đơn giản là tìm kiếm các chuỗi kí tự trong gói lớp truyền tải. từ đó tìm ra những cảnh báo đúng giữa các cơ sở dữ liệu. Xử lý kiểm định cần phải sử dụng thêm các cơ chế (thu nạp. tường lửa và các bộ phân tích lưu lượng mạng. Nhìn chung. điều này được thực hiện với sự kết hợp tiêu chuẩn nào đó. Với loại xử lý này. Các ví dụ về hệ thống phát hiện xâm phạm có sử dụng xử lý kiểm định là: • • • SecureView để kiểm tra các bản ghi được cung cấp bởi CheckPoint Firewall-1 CMDS (Computer Misuse Detection System). phát hiện xâm nhập sử dụng kiến thức về hoạt động hiện hành trên mạng để nhận biết được các cố gắng tấn công có thể (nếu nó không tìm thấy tấn công thành công trong quá khứ). Nó cũng có thể quản lý báo cảnh và tạo các thông kê. nó sẽ phân tích tất cả các bản ghi sự kiện để nhận ra những hành vi người dùng bất thường. ở đây có quá nhiều gói không phù hợp. thông tin giả và tối thiểu dữ liệu) vì kích thước file rất lớn. một . các thuật toán được sử dụng ở đây phải yêu cầu nhanh và hiệu quả do đó phải áp dụng thuật toán đơn giản. Điều này là do sự đáp ứng giữa những điều kiện cần thiết chính – khả năng phát hiện tấn công và sự phức tạp của các cơ chế xử lý dữ liệu được sử dụng trong đó.

HTTP. tạo các tấn công khó hơn trong việc lần vết và xử lý tự động. ví dụ. Việc quét liên tục lưu lượng mạng sẽ làm giảm thông lượng của mạng. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập. Dưới đây là một số hệ thống . Không thể quản lý được các gói đã mã hóa do đó không cung cấp được các thông tin cần thiết cho phát hiện xâm nhập. IDS dựa trên ứng dụng sử dụng sự kiểm tra các gói chuẩn để phân tích tải trọng TCP (gồm có cả các header).. Như vậy. Điểm yếu: • • • • Sự nhận dạng tài nguyên được thực hiện dựa trên địa chỉ mạng được lấy từ gói (ví dụ. liệt kê cấu trúc thư mục trên một máy chủ FTP trước khi một người dùng đăng nhập thành công. không sử dụng ID mạng). POP3. việc kiểm tra kích thước gói và các giá trị ngưỡng là để tìm ra các dấu hiệu biểu hiện tấn công từ chối dịch vụ.. Do module phân tích sử dụng tài nguyên hạn chế (chỉ trong bộ đệm) nên khả năng phát hiện bị hạn chế theo đó. lỗ hổng từ chối dịch vụ POP3 được khai thác bằng việc làm bão hòa máy chủ POP3 với nhiều yêu cầu để thực thi một lệnh. Do đó. không thể phát hiện bằng sử dụng phương pháp phân tích kiểm định chung – phân tích lưu lượng mạng được cần đến ở đây. cũng tại lớp truyền tải. Các ví dụ khác về IDS kiểm tra gói chuẩn còn có việc phát hiện các virus email trước khi chúng đến được các hòm thư bằng cách tìm tiêu đề email hợp lệ hoặc tên đính kèm. các gói có liên quan trong luồng dữ liệu được kiểm tra và quá trình kiểm tra sẽ tìm kiếm thông tin về gói nào hợp lệ với gói điển hình (các lệnh) của một giao thức được cho.. Khả năng bao phủ các lỗ hổng bảo mật kế đã có từ trước được đối với các kiểu tấn công. Tiêu tốn ít tài nguyên hệ thống hơn so với các trường hợp khác. Phương pháp này thừa nhận sự bất thường tìm thấy trong khi kiểm tra các gói. …). cụ thể như DoS. dấu hiệu tấn công được mở rộng bằng số lệnh đã gửi bởi một hệ thống và ngưỡng báo cảnh. Những ưu điểm của IDS thời gian thực: • • • Trội hơn về việc phát hiện các tấn công và thậm chí còn xử lý (khóa) chúng. Một công cụ có thể tìm kiếm mã nguy hiểm có thể thỏa hiệp hệ thống nếu bị tấn công. những khai thác về lỗ hổng bộ đệm đang tìm kiếm các dấu hiệu để kiểm tra trạng thái session người dùng để ngăn chặn. Tương phản với các phương pháp thẩm tra chuẩn. giá trị ACK được lập khác 0 khi cờ ACK không được thiết lập. chỉ lựa chọn các gói trong luồng dữ liệu được tranh tra và quá trình thanh tra chỉ tìm kiếm thông tin trạng thái như gói đó có gồm mã nguy hiểm hay không. Một trở ngại của phương pháp phân tích lớp cao nằm ở chỗ thực tế rằng nó rất tốn thời gian và phụ thuộc vào môi trường làm việc (giao thức lớp ứng dụng thay đổi khác nhau trong các hệ điều hành khác nhau). Một phương pháp khác đôi chút được áp dụng trong phân tích lớp ứng dụng (FTP. Đây là một vấn đề quan trọng khi các công cụ IDS được triển khai gần tường lửa. Địa chỉ tài nguyên có thể bị giả mạo.gói có các cờ SYN và FIN đều được thiết lập không hợp với việc đánh số của chuỗi hoặc những gì đã biết. Với phương pháp này.. các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS.

.… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. . Các profile này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. bộ nhớ. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên profile hành vi người dùng thông thường.đầu ra và tổng quát hóa chúng để rút ra mối quan hệ vào/ra mới. Ví dụ. . một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng profile người dùng ngắn hạn hoặc dài hạn. hiệu suất sử dụng không gian đĩa. đăng xuất. Như vậy. CPU. Kỹ thuật này không được sử dụng trong các hệ thống thương mại. các quản trị viên sẽ dễ dàng hơn trong việc bổ sung thêm dấu hiệu mới. NetRanger. Điển hình. hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công.Phân tích trạng thái phiên. đây là phương pháp thường được sử dụng. nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như Stalker. . số file truy nhập trong một chu kỳ thời gian. dấu hiệu tấn công có thể được tìm thấy trong các bản ghi hoặc đầu vào của luồng dữ liệu theo một cách dễ hiểu. ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm). Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Một kịch bản tấn công có thể được mô tả. Thực ra các phương pháp thống kê cũng một phần được coi như neural networks. Các phương pháp dựa vào việc làm tương quan profile người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả. Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấn công thành định dạng kiểm định thích hợp.Phân tích dấu hiệu giống như phương pháp hệ thống Expert. phương pháp này dựa trên những hiểu biết về tấn công.được mô tả vắn tắt: . các biến như là: đăng nhập người dùng.Hệ thống Expert. Vì vậy.Neural Networks sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào .Phương pháp phân tích thống kê. một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Các thực nghiệm đã được . Với kỹ thuật này. Emerald eXpert-BSM). việc làm cho hợp một dấu hiệu phức tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian. Các phiên được trình bày trong sơ đồ trạng thái phiên.Phương pháp Colored Petri Nets thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa. . Hành vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động. Phương pháp neural network được sử dụng cho phát hiện xâm nhập. Mặc dù vậy. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T). Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri Nets. Real Secure.

Kỹ thuật khác phải dùng đến các đoạn. Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Sự phát hiện bất thường thường gây ra các báo cảnh sai. Mặc dù vậy. một tập dữ liệu kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ. cho phép trích mẫu của các tấn công chưa biết. Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụ mạng. Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Với việc tối thiểu hóa dữ liệu. nó lưu luồng lệnh đầu ra người dùng vào các biểu mẫu vector và sử dụng như một tham chiếu của profile hành vi người dùng thông thường. Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ sở dữ liệu lớn. . Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc gọi hệ thống.Phân biệt ý định người dùng. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụng trong phát hiện xâm nhập được kết hợp với các cây phán quyết. . Nó cho phép ai đó có thể trích kiến thức chưa hiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thông thường. việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định . Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộng đồng phát hiện xâm nhập. sau đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc gọi hệ thống. do đó giảm đáng kể xác suất báo cảnh sai Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời. nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối thiểu. để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa. Các tấn công khai thác lỗ hổng trong mã ứng dụng rất có khả năng gây ra đường dẫn thực thi không bình thường. Mặc dù vậy.Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn. Kỹ thuật này có tỉ lệ báo cảnh sai rất thấp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành bởi các quá trình. Các profile sau đó được nhóm vào trong một thư viện lệnh người dùng có các thành phần chung nào đó.Computer immunology Analogies với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật được xây dựng từ mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn là người dùng riêng lẻ. . một báo cảnh sẽ được tạo ra. phương pháp tối thiểu dữ liệu này vượt trội hơn đối với việc sử lý bản ghi hệ thống lớn (dữ liệu kiểm định). Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp với việc tìm kiếm các nguyên tắc kết hợp. . hành vi của hầu hết người dùng khác cũng có thể dự đoán. Đây là một kỹ thuật thông minh nhân tạo.Machine learning (nghiên cứu cơ chế).tiến hành với sự dự đoán mạng neural về hành vi người dùng. chúng kém hữu dụng đối với việc phân tích luồng lưu lượng mạng. Từ những kết quả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán. Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn công chưa biết đã cất giữ. nếu không. Với một số ít ngoại lệ. Đầu tiên. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.

Các hành vi của người dùng trong hệ thống Các mẫu hành vi thông thường – phát hiện bất thường Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ thống. hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng. (lỗi tiêu cực) Các dấu hiệu có hành vi xấu –phát hiện dấu hiệu . Để hợp lý với các profile sự kiện. tuy nhiên chúng lại có hiện tượng là tạo các cảnh báo sai về một số vấn đề. đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công. Có một vấn đề liên quan đến việc làm profile ở đây đó là: khi hệ thống được phép “học” trên chính nó. tất cả các hoạt động người dùng bị bỏ qua trong suốt giai đoạn này sẽ không hợp lý.trước và không rõ ràng (Hình 2). ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu). một nhiệm vụ khó khăn và tốn thời gian. khả năng phát hiện sự lạm dụng quyền của người dùng. các hệ thống này được đặc trưng bởi hiệu quả phát hiện rất cao (chúng có thể nhận ra nhiều tấn công mặc dù tấn công đó là mới có trong hệ thống). Để phân loại các hành động. Do đó. còn có một sự cần thiết nữa đó là nâng cấp profile và “đào tạo” hệ thống. Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo. Hiệu suất hệ thống không được kiểm tra trong suốt quá trình xây dựng profile và giai đoạn đào tạo. Những nhược điểm lớn nhất của phương pháp này là: • • Xác suất cảnh báo sai nhiều. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể. Các hành vi người dùng có thể thay đổi theo thời gian.… một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiêu) cũng được gọi là kiến thức cơ bản. Cho một tập các profile hành vi thông thường. IDS phải lợi dụng phương pháp phát hiện dị thường. mọi thứ không hợp với profile được lưu sẽ được coi như là một hoạt động nghi ngờ. Ngoài ra. các vấn đề không bình thường được nhận ra không cần nguyên nhân bên trong của chúng và các tính cách. thì những kẻ xâm nhập cũng có thể đào tạo hệ thống ở điểm này. Ưu điểm của phương pháp phát hiện bất thường này là: có khả năng phát hiện các tấn công mới khi có sự xâm nhập. Một profile không tương thích sẽ có thể được phát hiện tất cả các hoạt động xâm nhập có thể. do đó cần phải có một sự nâng cấp liên tục đối với cơ sở dữ liệu profile hành vi thông thường. nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường. Do đó.

Chúng không thể kế thừa để phát hiện các tấn công mới và chưa biết. dễ dàng tạo cơ sở dữ liệu dấu hiệu tấn công. Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều công cụ IDS.…) . độ chính xác của chúng rất cao (số báo cảnh sai thấp). Với kiểm tra đơn giản về tập các cờ trên gói đặc trưng hoàn toàn có thể phát hiện ra gói nào hợp lệ. Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này: • • Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP. dễ dàng bổ sung và tiêu phí hiệu suất tài nguyên hệ thống tối thiểu. thuật toán đơn giản. Tuy nhiên chúng không thực hiện một cách hoàn toàn và không ngăn cản hoàn toàn các tấn công mới. ví dụ. một số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống đang được bảo vệ. dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập. Để phát hiện có hiệu quả các tấn công như vậy. Các phương pháp phát hiện dấu hiệu có một số ưu điểm dưới đây: tỉ lệ cảnh báo sai thấp. Bất kỳ hoạt động nào không rõ ràng đều có thể bị xem xét và ngăn cản. các ứng dụng được sử dụng. Điển hình. Phải nâng cấp một cơ sở dữ liệu dấu hiệu tấn công tương quan với nó. IDS phải được bổ sung nhiều giao thức lớp ứng dụng. Tương tự. Sự quản lý và duy trì một IDS cần thiết phải kết hợp với việc phân tích và vá các lỗ hổng bảo mật. Khó khăn ở đây có thể là phải mở gói và lắp ráp chúng lại. Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy. UDP hoặc ICMP. Một số nhược điểm • • • • Khó khăn trong việc nâng cấp các kiểu tấn công mới. gói nào không. chúng được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính. TCP. Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ. đó là một quá trình tốn kém thời gian.Thông tin xử lý hệ thống trong các hành vi bất thường và không an toàn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng trong các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức tạp trong tính toán của chúng không cao). Do đó. Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng chương trình. nền tảng. IDS dựa trên dấu hiệu những hành vi xấu phải được cấu hình tuân thủ những nguyên tắc nghiêm ngặt của nó với hệ điều hành (phiên bản. Các dấu hiệu hành vi xấu được chia thành hai loại: • • Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật.

Một kịch bản tấn công có thể được mô tả.) Tương quan các mẫu tham số Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hơn hai phương pháp trước. cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện). đã phát hiện các gói ping ICMP có kích thước lớn hơn 800byte đến từ một mạng bên ngoài và đã kết hợp với bất kỳ cổng nào: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC large ICMP". Thứ hai. một profile là một phần hiểu biết của con người. Nó được sinh ra do nhu cầu thực tế rằng. Nó kế thừa những nhược điểm trong thực tế là con người chỉ hiểu một phần giới hạn thông tin tại một thời điểm. Như vậy. Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối với chính hoạt động đó. sự lạm dụng quyền người dùng xác thực không thể phát hiện khi có hoạt động mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng và cấu trúc dấu hiệu tấn công). phương pháp này dựa trên những hiểu biết về tấn công. Ví dụ dưới đây trình bày một dấu hiệu tấn công lấy từ chương trình Snort. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. nó dễ dàng hơn trong việc cung cấp dấu hiệu liên quan đến tấn công đã biết và để gán tên đối với một tấn công. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấn công thành định dạng kiểm định thích hợp.Hệ thống Expert. các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu đối với một IDS. Nó có thể được xem như trường hợp đặc biệt của phương pháp Profile thông thường. reference:arachnids. . Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập. hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. các quản trị viên kiểm tra các hệ thống khác nhau và các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật). Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. điều đó có nghĩa là các tấn công nào đó có thể vượt qua mà không bị phát hiện.246. Phương pháp này liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên như các vấn đề cơ bản cho việc phát hiện dấu hiệu bất thường. dấu hiệu tấn công có thể được tìm thấy trong các bản ghi hoặc đầu vào của luồng dữ liệu theo một cách dễ hiểu. sid:499. Điển hình. .Phân tích dấu hiệu giống như phương pháp hệ thống Expert. classtype:bad-unknown. bời vì nó cho phép xâm nhập dựa trên các kiểu tấn công không biết. Trước tiên. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T). Đây là một kỹ thuật mạnh. dsize: >800. Thông tin đạt được trong cách này có một môi trường cụ thể không thay đổi. Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai lý do. ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Dưới đây là một số hệ thống được mô tả vắn tắt: .• Chúng dường như khó quản lý các tấn công bên trong. Sự khác nhau ở đây nằm ở chỗ trong thực tế.

Với kỹ thuật này.Computer immunology Analogies với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật được xây dựng từ mô hình hành vi thông thường trong các dịch vụ mạng UNIX hơn là . Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri Nets. hành vi của hầu hết người dùng khác cũng có thể dự đoán. một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng profile người dùng ngắn hạn hoặc dài hạn. đây là phương pháp thường được sử dụng.… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Từ những kết quả cho thấy rằng các hành vi của siêu người dùng UNIX (root) là có thể dự đoán. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các phiên được trình bày trong sơ đồ trạng thái phiên. Real Secure. bộ nhớ. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên profile hành vi người dùng thông thường. Các profile này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. . đăng xuất. Neural networks vẫn là một kỹ thuật tính toán mạnh và không được sử dụng rộng rãi trong cộng đồng phát hiện xâm nhập.Phương pháp phân tích thống kê.Neural Networks sử dụng các thuật toán đang được nghiên cứu của chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào . NetRanger. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. hiệu suất sử dụng không gian đĩa. Với một số ít ngoại lệ.đầu ra và tổng quát hóa chúng để rút ra mối quan hệ vào/ra mới.Phân tích trạng thái phiên. số file truy nhập trong một chu kỳ thời gian. Ví dụ. . Vì vậy. Emerald eXpert-BSM). Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng. Kỹ thuật này không được sử dụng trong các hệ thống thương mại. .Phân biệt ý định người dùng. Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Các phương pháp dựa vào việc làm tương quan profile người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.Phương pháp Colored Petri Nets thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết cơ bản và để thể hiện các tấn công theo đồ họa. Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Hành vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. mục đích chính là để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm). Mặc dù vậy. việc làm cho hợp một dấu hiệu phức tạp với dữ liệu kiểm định là một vấn đề gây tốn nhiều thời gian. Thực ra các phương pháp thống kê cũng một phần được coi như neural networks. một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. các biến như là: đăng nhập người dùng.Điển hình. . Sử dụng mạng neural trên thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến và trong việc nghiên cứu các mối quan hệ một cách tự động. . các quản trị viên sẽ dễ dàng hơn trong việc bổ sung thêm dấu hiệu mới. . CPU. nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như Stalker. Phương pháp neural network được sử dụng cho phát hiện xâm nhập.

tức là chỉ có thể cảnh báo mà thôi. Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp với việc tìm kiếm các nguyên tắc kết hợp. Nó cho phép ai đó có thể trích kiến thức chưa hiểu trước đó về các tấn công mới hoặc đã xây dựng trên mẫu hành vi thông thường. năm 2004 nó được phổ biến rộng rãi. nó chỉ là một giải pháp giám sát thụ động. . Đầu tiên. Các mô hình cây phán quyết cho phép ai đó có thể phát hiện các sự bất thường trong một cơ sở dữ liệu lớn. một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống. Kết hợp với việc nâng cấp các thành phần quản trị. Một trong những kỹ thuật tối thiểu hóa dữ liệu cơ bản được sử dụng trong phát hiện xâm nhập được kết hợp với các cây phán quyết. do đó hệ thống IDS và IPS có thể được gọi chung là IDP-Intrusion Detection and Prevention. Kỹ thuật khác phải dùng đến các đoạn. Với việc tối thiểu hóa dữ liệu. một báo cảnh sẽ được tạo ra. Các profile sau đó được nhóm vào trong một thư viện lệnh người dùng có các thành phần chung nào đó. Nếu như hiểu đơn giản. Hơn nữa trong một số trường hợp đặc biệt. IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. phương pháp tối thiểu dữ liệu này vượt trội hơn đối với việc sử lý bản ghi hệ thống lớn (dữ liệu kiểm định). Kỹ thuật này có tỉ lệ báo cảnh sai rất thấp. SQL Slammer.Hiện nay. để xem chuỗi được tạo ra đã được liệt kê trong cơ sở kiến thức chưa. Điều đó được thực hiện bằng việc hợp lệ hóa các mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn công chưa biết đã cất giữ. một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được. ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Mặc dù vậy. Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc gọi hệ thống. nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red. Mô hình này gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành bởi các quá trình. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó. một tập dữ liệu kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ. nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối thiểu. do đó giảm đáng kể xác suất báo cảnh sai.Machine learning (nghiên cứu cơ chế). Các tấn công khai thác lỗ hổng trong mã ứng dụng rất có khả năng gây ra đường dẫn thực thi không bình thường. Đây là một kỹ thuật thông minh nhân tạo.người dùng riêng lẻ. cũng như giảm bớt được phần nào gánh nặng của việc vận hành. NIMDA. . việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ . Sự phát hiện bất thường thường gây ra các báo cảnh sai. So sánh IDS và IPS . Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. nếu không. Dĩ nhiên ta có thể thấy rằng. tại sao lại cần IPS chứ không phải là IDS? Trước các hạn chế của hệ thống IDS. chúng kém hữu dụng đối với việc phân tích luồng lưu lượng mạng. IPS ra đời khi nào. Trở ngại của nó là sự bất lực trong việc phát hiện lỗi trong cấu hình dịch vụ mạng. Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. sau đó kiến thức cơ bản được bổ sung thêm với tất cả các chuỗi được biết rõ về cuộc gọi hệ thống. nó lưu luồng lệnh đầu ra người dùng vào các biểu mẫu vector và sử dụng như một tham chiếu của profile hành vi người dùng thông thường.Việc tối thiểu hóa dữ liệu thường phải dùng đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa biết nhưng có khả năng hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn. IDS và IPS có rất nhiều điểm chung. cho phép trích mẫu của các tấn công chưa biết.

do các cơ chế của IDS là tổng quát.Nên biết rằng với IDS. của đối tác. độ chính xác của IPS là cao hơn so với IDS. dẫn đến khả năng các cuộc tấn công sẽ thành công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS.IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công (như Cosultant đã nói). . dẫn đến tình trạng báo cáo nhầm. việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu Attacker giả mạo (sniffer) của một đối tác. để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó (Có thể tham khảo thêm các bài viết về DoS của tui ). thêm đó. gây ảnh hưởng đến hệ thống. của ISP. . ISP. Thêm vào đó. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. hay là khách hàng. người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng.thuộc vào người quản trị. hoặc là gửi thông tin thông báo đên tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó. mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ Block luôn cả IP của khách hàng. việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích. các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn. lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ. do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn. . làm tốn thời gian và công sức của nhà quản trị. cảnh báo nhầm. Với IPS. Với IDS. như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. vì vậy cần có các cơ chế khác nhau để phân biệt. tuy nhiên.