Học Viện Kỹ Thuật Mật Mã
Khoa An Toàn Thông Tin
Đề Tài
Tìm Hiểu Hệ Thống Phát Hiện Và Ngăn Chặn Xâm
Nhập IDS/IPS
Nhóm Thực Hiện: Đỗ Anh Thăng
Lê Quang Long
Lê Thị Linh
Nguyễn Thị Nga
Nội Dung
Giới Thiệu Về IDS/IPS
Hệ Thống Phát Hiện Xâm Nhập
Hệ Thống Ngăn Chặn Xâm Nhập
Phân Loại IDS/IPS
So Sánh IDS/IPS
Giới Thiệu Về IDS/IPS
Một hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS (Intrusion
Detection System /Intrusion Prevention System) được định nghĩa là một
phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm
nhập và có thể ngăn chặn các nguy cơ gây mất an ninh.
Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói
với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công =>
cảnh báo hoặc ngăn cản luôn.
Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõi mạng
xem có hiện tượng bất thường hay không, và phản ứng lại.
Hệ Thống Phát Hiện Xâm Nhập IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là một
thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ
thống, nhà quản trị.
Chức năng quan trọng nhất : giám sát - cảnh báo - bảo vệ
Giám sát : lưu lượng mạng + các hoạt động khả nghi.
Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Chức năng mở rộng :
Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lượng mạng hiện tại với baseline
Hệ Thống Phát Hiện Xâm Nhập IDS
Có 2 loại IDS là Network Based IDS (NIDS) và Host
Based IDS (HIDS)
Hệ Thống Phát Hiện Xâm Nhập IDS
Các kỹ thuật xử lý dữ liệu
Hệ thống Expert
Phân tích dấu hiệu
Phương pháp Colored Petri Nets
Phân tích trạng thái phiên
Phương pháp phân tích thống kê
Neural Networks
Phân biệt ý định người dùng
Computer immunology Analogies
Machine learning
Việc tối thiểu hóa dữ liệu
NIDS-Network Based IDS
HIDS-Host Based IDS
Hệ Thống Ngăn Chặn Xâm Nhập IPS
IPS (Intrusion Prevention System - Hệ thống ngăn chặn xâm
nhập) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ
thuật firewall với hệ thống phát hiện xâm nhập - IDS, có khả
năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn
chặn các cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả
năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó.
Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn
chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành
đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng
Kiến Trúc Hệ Thống IPS
Module phân tích luồng dữ liệu
Modul phát hiện tấn công
Modul phản ứng
IPS ngoài luồng
IPS trong luồng
So Sánh IDS/IPS
IDS IPS
Chỉ đưa ra cảnh báo Xác định được lưu lượng khả nghi có
dấu hiệu tấn công mà còn giảm thiểu
khả năng xác định sai lưu lượng
Việc đáp ứng lại với các cuộc tấn công
chỉ có thể xuất hiện sau khi các gói tin
của kẻ tấn công đã tới đích
Phát hiện ngay từ đầu dấu hiệu cuộc
tấn công và sau đó khóa ngay các lưu
lượng mạng này