Tải bản đầy đủ - 0 (trang)
d) Kiến trúc và nguyên lý hoạt động của IDS

d) Kiến trúc và nguyên lý hoạt động của IDS

Tải bản đầy đủ - 0trang

5



Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

- Thành phần thu gói tin ( Information collection)

- Thành phần phân tích gói tin (Dectection)

- Thành phần phản hổi (Respontion)

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và

ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân

tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như

thế nào.

Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự

kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện. Bộ tạo sự kiện

( hệ điều hành, mạng ứng dụng ) cung cấp một số chính sách thích hợp cho các sự

kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng.

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng

tương thích đạt được từ các sự kiện quan trọng với hệ thống bảo vệ, vì vậy có thể

phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính

sách phát hiện cho mục này. Ngồi ra còn có các thành phần: dấu hiệu tấn công,

profile hành vi thông thường, các tham số cấu hình, gồm các chệ độ truyền thơng

với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu riêng của nó, gồm dữ kiệu

lưu về các xâm phạm phức tạp tiềm ẩn(tạo ra từ nhiều hành động khác nhau).

- Nguyên lý hoạt động của IDS



Hình 2.2. Hoạt động của IDS



6



Q trình phát hiện có thể được mơ tả bởi các yếu tố cơ bản nền tảng sau :

- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên

mạng (Intrustion Montorring).

- Sự phân tích (Anaylysis): Phân tích tất cả các gói tin đã thu thập để cho biết

hành động nào là tấn công (Intruction detection ).

- Xuất thông tin cảnh báo (Respone): Hành động cảnh báo cho sự tấn cơng

được phân tích ở trên nhờ bộ phận thông báo (Notification).

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến

các quản trị viên hệ thống về sự việc này. Bước tiếp theo thực hiện bởi các quản trị

viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các

chức năng khóa để giới hạn session, backup hệ thống, định tuyến các kết nối đến

bẫy hệ thống, cơ sở hạ tầng hợp lệ, …) - theo các chính sách bảo mật của các tổ

chức. Một IDS là một thành phần nằm trong chính sách bảo mật.

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong

những nhiệm vụ cơ bản . Nó cũng hữu dụng trong việc nhiên cứu mang tính pháp lý

các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công

trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.

Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ những vấn đề

xảy ra do trục trặc hệ thống hoặc gửi nhầm các mô tả tấn công hoặc các chữ ký

thông qua mail.

- Chức năng của IDS

Những đe dọa đối với an ninh mạng ngày càng trở lên cần thiết đã đặt ra câu

hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện

xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập hữu ích cho họ,

bổ sung những điểm yếu của hệ thống khác… IDS có được chấp nhận là một thành

phần thêm vào cho hệ thống an tồn khơng vẫn là câu hỏi của nhiều nhà quản trị hệ

thống. Có nhiều tài liệu về những chức năng mà IDS đã làm được và đây là vài lý

do đưa ra tại sao chọn IDS:

- Bảo vệ tính tồn vẹn của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ

thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hơp pháp hoặc phá

hoại dữ liệu.

- Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi.

- Bảo vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy

nhập thông tin của người dùng hợp pháp.



7



- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên

của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp.

- Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi

phục , sửa chữa…

Chức năng quan trọng nhất của IDS là : giám sát - cảnh báo - bảo vệ.

- Giám sát: lưu lượng mạng và các hành động khả nghi.

- Cảnh báo: báo cáo về tình trạng mang cho hệ thống và nhà quản trị.

- Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có

những hành động thiết thực để chống lại các cuộc xâm nhập, phá hoại trái phép.

Chức năng mở rộng:

- Phân biệt: tấn công bên trong và bên ngoài.

- Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào

sự so sánh thông lượng mạng hiện tại với baseline.

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là hiển nhiên.

Việc đưa ra những điển yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng

như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.

2.1.2 Phân loại IDS và phân tích ưu nhược điểm

IDS được chia thành hai loại đó là:

- Network-based Intrusion Detection System (NIDS): Hệ thống phát hiện xâm

nhập hướng mạng.

- Host-based Intrusion Detection System (HIDS): Hệ thống phát hiện xâm

nhập máy chủ.

a) Hệ thống phát hiện xâm nhập hướng mạng (NIDS)

NIDS (Network-based Intrusion Detection System) sử dụng dữ liệu kiểm tra

từ một máy trạm đơn để phát hiện xâm nhập, NIDS phát hiện xâm nhập khi thu thập

dữ liệu của các gói tin lưu thơng trên các phương tiện truyền dẫn như cables,

wireless bằng cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui

tắc của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file

log được lưu vào cơ sở dữ liệu.

NIDS thường có hai thành phần logic:

- Bộ cảm biến – Sensor: được đặt tại một đoạn mạng, nó sẽ kiểm sốt các cuộc

lưu thơng đáng nghi ngờ trên đoạn mạng đó.

- Trạm quản lý: sau khi nhận được các tín hiệu cảnh báo từ bộ cảm biến nó sẽ

thơng báo cho nhà quản trị.



8



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

d) Kiến trúc và nguyên lý hoạt động của IDS

Tải bản đầy đủ ngay(0 tr)

×