Tải bản đầy đủ (.pdf) (38 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Hệ thống phát hiện và ngăn ngừaxâm nhập được triển khai trên thiết bị đầu cuối (Host-based IDS/IPS)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.57 MB, 38 trang )

3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Hệ thống phát hiện và ngăn ngừa
xâm nhập được triển khai trên
thiết bị đầu cuối
(Host-based IDS/IPS)

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

1

1


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Khả năng của HIPS
- Phải có khả năng ngăn chặn các hoạt động của mã
độc hại.
- Không được làm gián đoạn các hoạt động bình
thường.
- Phải có khả năng biết được sự khác nhau giữa các
sự kiện tấn công và sự kiện bình thường.


- Phải có khả năng ngăn chặn được các cuộc tấn
công chưa từng được biết tới.
- Phải bảo vệ được các lỗ hỏng trong các ứng dụng.
- Nên được quản lý tập trung.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

2

2


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Các lợi ích của HIPS
- Ngăn chặn tấn cơng (attack prevention)
-Ngăn chặn phát tán tấn công nội bộ (internal
attack propagation prevention)
- Thực thi chính sách (Policy enforcement)
- Thực thi chính sách sử dụng có thể chấp
nhận được (Acceptable Use Policy
Enforcement)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải


3

3


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Các giới hạn của HIPS
- Can thiêp người dùng cuối (Subject to End
User Tampering)
- Thiếu sự bao quát toàn mạng (Lack of
Complete Coverage)
- Các cuộc tấn công không nhằm vào mục
tiêu là các máy tính.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

4

4


3/18/2013

Đại học Cơng nghệ thơng tin

Khoa Mạng máy tính và truyền thông

Các giới hạn của HIPS:
Can thiệp người dùng cuối
Một số phương pháp can thiệp có thể gây hại
đến HIPS.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

5

5


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Các giới hạn của HIPS:
Thiếu sự bao qt tồn mạng

HIPS chỉ có thể bảo vệ các
máy tính (host) mà nó được
cài đặt lên đó.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập


ThS. Hồ Hải

6

6


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Mục tiêu khơng phải là máy tính

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

7

7


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Các thành phần của HIPS
Các sản phẩm HIPS thường có 2 thành

phần thiết yếu:
- Phần mềm được cài đặt trên thiết bị đầu
cuối để bảo vệ thiết bị đầu cuối đó. Được
gọi Endpoint Agents.
- Cơ sở hạ tầng quản lý để quản lý các
agent.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

8

8


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Endpoint Agents:
tiến trình điều khiển truy cập

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

9

9



3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp
Bước đầu tiên trong tiến trình điều khiển truy
cập là “Xác định nguồn tài nguyên đang
được truy cập”. Xác định này sẽ kích hoạt
bước “Thu thập dữ liệu” và thay đổi loại hay
số lượng dữ liệu được thu thập.
Hỏi: Cách để xác định nguồn tài nguyên là
quan trọng?
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

10

10


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông


Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Vịng đời của cuộc tấn cơng

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

11

11


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Xác định nguồn tài nguyên đang được truy câp(tt)
Nhận biết các nguồn tài nguyên mà cuộc tấn
công cần cho mỗi giai đoạn:
- Mạng (Network)
- Bộ nhớ (Memory)
- Sự thực thi ứng dụng (Application execution)
- Các tập tin (files)
- Cấu hình hệ thống
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải


12

12


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
4 phương pháp phổ biến dể thu thập dữ liệu:
- Kernel modification
- System call Interception
- Virtual Operation Systems
- Network traffic Analysis

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

13

13


3/18/2013


Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động (tt)
Kernel modification

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

14

14


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

15


15


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
System call Interception (tt): Ví dụ trong Windows

- CSATdi (transport driver interface)
- CSAFile
- CSAReg
- CSACenter

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

16

16


3/18/2013

Đại học Cơng nghệ thơng tin

Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Virtual Operating Systems: trước khi các hành động được
cho phép, quyền được thực thi hành động đó được thực
hiện trong bản sao ảo của hệ điều hành.

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

17

17


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Network Traffic Analysis

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải


18

18


3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thông

Endpoint Agents:
Thu thập dữ liệu liên quan tới hoạt động
Dữ liệu được thu thập cho mỗi loại tài nguyên
Loại tài nguyên

Dữ liệu thu thập

Tất cả

Thời gian, xác định đầu cuối, access token, credential

Giám sát mạng

Địa chỉ IP nguồn, đích ; cổng nguồn, đích

u cầu kết nối mạng

Tên tiến trình, địa chỉ IP, cổng, hành động (chấp nhận, từ chối)

Truy cập file


Tên tiến trình, đường dẫn file, tên file, hành động (đọc, viết)

Truy cập registry

Tên tiến trình, đường dẫn key, tên key, giá trị, loại

Sự thực thi ứng dụng

Tên tiến trình, đường dẫn tiến trình, tên tiến trình mục tiêu,
đường dẫn tiến trình mục tiêu

Bảo vệ kernel

Tên mơ-dun kernel, hash mơ-dun, code pattarn

Bộ nhớ (memory)

Tên tiến trình, fuction call, buffer return address, buffer
contents

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

19

19



3/18/2013

Đại học Cơng nghệ thơng tin
Khoa Mạng máy tính và truyền thơng

Endpoint Agents:
Xác định tình trạng hệ thống
Tất cả dữ liệu liên quan đã được thu thập, tuy
nhiên tình trạng hệ thống có thể thay đổi kết quả
của việc yêu cầu này.
Có 3 loại sau:
- Tình trạng vị trí (location state)
- Tình trạng người dùng (user state)
- Tình trạng hệ thống (system state)

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

ThS. Hồ Hải

20

20



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×