PHÂN BIỆT 2 KIỂU PHÁT HIỆN XÂM NHẬP:
SIGNATURE-BASED, ANOMALY-BASED
VÀ THỰC NGHIỆM
GVHD: THS.Nguyễn Thị Thanh Vân
SVTH : Trần Nguyễn Bảo Duy 10110018
Nguyễn Phước Đạt 10110025
1
Java Simplified / Session 22 / 2 of 45
NỘI DUNG
Tổng quan về IDS
31
Signature - based
32
Anomaly - based
33
2
Giới thiệu Snort
34
Thực nghiệm
35
Java Simplified / Session 22 / 3 of 45

Khái niệm

Thành phần của IDS

Chức năng

Các hệ thống không phải là IDS

Phân loại


Các loại tấn công
Chương I: Tổng quan về IDS
Chương I: Tổng quan về IDS
3
Java Simplified / Session 22 / 4 of 45

Là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản
trị.

IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài. IDS phát hiện
dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với
baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
1. Khái niệm
1. Khái niệm
4
Java Simplified / Session 22 / 5 of 45
2. Thành phần
2. Thành phần
5
Java Simplified / Session 22 / 6 of 45
3. Chức năng của IDS
3. Chức năng của IDS
6
-
Bảo vệ tính toàn vẹn của dữ liệu.
-
Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
- Bảo vệ tính khả dụng: sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp.
-

Bảo vệ tính riêng tư: cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng,
-
Cung cấp thông tin về sự xâm nhập, đưa ra những chính
sách đối phó, khôi phục, sửa chữa…
Java Simplified / Session 22 / 7 of 45
4. Các hệ thống không phải là IDS
4. Các hệ thống không phải là IDS
7

Tường lửa – firewall

Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus,
trojan horse, worm,

Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN,
Java Simplified / Session 22 / 8 of 45
5. Phân loại dựa theo đối tượng
5. Phân loại dựa theo đối tượng
8
Network based – IDS (NIDS)
Java Simplified / Session 22 / 9 of 45
Lợi thế của NIDS
Lợi thế của NIDS
9
- Quản lý được cả một network segment (gồm nhiều host)
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh được tấn công từ chối dịch vụ (DoS) ảnh hưởng tới một host nào đó.
- Độc lập với OS
Java Simplified / Session 22 / 10 of 45
Hạn chế của NIDS

Hạn chế của NIDS
10
- Không thể phân tích các lưu lượng đã được mã hóa (vd: SSL, SSH, IPSec…)
- Đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động
- Không cho biết việc tấn công có thành công hay không
- Giới hạn băng thông do những bộ dò mạng phải nhận tất cả các lưu lượng mạng
-
Có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động
ở mức cao.
Java Simplified / Session 22 / 11 of 45
Host – based IDS (HIDS)
Host – based IDS (HIDS)
11
Java Simplified / Session 22 / 12 of 45
Lợi thế của HIDS
Lợi thế của HIDS
12
- Có khả năng xác đinh user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Java Simplified / Session 22 / 13 of 45
Hạn chế của HIDS
Hạn chế của HIDS
13
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.

- HIDS có thể không hiệu quả khi bị DoS.
Java Simplified / Session 22 / 14 of 45
6. Phân loại dựa theo hành vi
6. Phân loại dựa theo hành vi
14
Phân loại dựa trên hành vi của IDS có thể phân làm 2 loại là phát hiện xâm nhập
dựa trên dấu hiệu (Signature-based IDS) và phát hiện xâm nhập dựa vào sự bất
thường (Anomaly-based IDS)
Java Simplified / Session 22 / 15 of 45
Signature – based IDS
Signature – based IDS
15
Audit Data Signature
Attack
Match???
Java Simplified / Session 22 / 16 of 45
Anomaly – based IDS
Anomaly – based IDS
16
Java Simplified / Session 22 / 17 of 45
8. Các loại tấn công IDS có thể phát hiện
8. Các loại tấn công IDS có thể phát hiện
17

Việc bẻ khóa và sự vi phạm truy cập

Lấy cắp thông tin

Sử dụng tài nguyên CNTT cho các mục đích riêng


Lợi dụng điểm yếu của hệ thống để truy cập vào tài nguyên hoặc các quyền truy cập mức cao

Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy cập)

Từ chối dịch vụ (DoS)

Tấn công ứng dụng web
Java Simplified / Session 22 / 18 of 45

Giới thiệu

Định nghĩa

Ưu – nhược điểm

Mô hình hoạt động

Hệ thống Rule-based System
Signature – based IDS
Signature – based IDS
18
Java Simplified / Session 22 / 19 of 45

Giới thiệu
Signature – based IDS
Signature – based IDS
19
Audit Data Signature
Attack
Match???

Java Simplified / Session 22 / 20 of 45
Signature – based IDS
Signature – based IDS
20
Mô hình hoạt động của Signature based
CLASSIFICATION RULES
SIGNATURE
DATABASE/PARSER
SIGNATURE
CLASSIFIER
SIGNATURE ENGINE
LOG FILE
DROPPED
PACKETS
Java Simplified / Session 22 / 21 of 45

Signature-based Detection sử dụng phương pháp so sánh các dấu hiệu vào
hệ thống với những dấu hiệu đã biết thông qua phân tích lưu lượng mạng và
log system.
Signature – based IDS
Signature – based IDS
21
Java Simplified / Session 22 / 22 of 45

Có hiệu quả với những mối nguy hại đã biết

Hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa
biết và chưa có trong cơ sở dữ liệu
Signature – based IDS
Signature – based IDS

22
Ưu - nhược điểm
Java Simplified / Session 22 / 23 of 45

Là phương pháp thông dụng cho việc mô tả các cuộc tấn công và lỗ hỗng.

Phát hiện những cuộc tấn công từ bên ngoài hệ thống từ những người dùng
trái phép

Phát hiện những cuộc tấn công từ bên trong hệ thống khi người dùng giả
danh, lạm dụng những đặc quyền của họ để tránh việc kiểm soát truy cập từ
hệ thống
Signature – based IDS
Signature – based IDS
23
Rule based System
Java Simplified / Session 22 / 24 of 45
Có 42 luật. Gồm:

Interface

Đăng nhập (logins),

Quyền của người dùng (user privilege),

Truy cập tập tin (file access)
Signature – based IDS
Signature – based IDS
24
Rule based System

ANOMALY BASED - IDS
25