VietNetwork.Vn

Hệ thống phát hiện xâm nhập (Intrusion Detection System IDS) được sử dụng với mục đích phát hiện lưu lượng mạng độc hại và việc sử dụng sai hệ thống mà tường lửa thông thường không thể phát hiện được. Do đó, IDS phát hiện các cuộc tấn công dựa trên mạng vào các dịch vụ và ứng dụng dễ bị tấn công, các cuộc tấn công dựa trên máy chủ, như leo thang đặc quyền, hoạt động đăng nhập trái phép và truy cập vào các tài liệu bí mật và lây nhiễm phần mềm độc hại (trojan, vi rút, v.v.). Nó đã được chứng minh là một nhu cầu cơ bản để vận hành thành công một mạng.


Sự khác biệt chính giữa Hệ thống ngăn chặn xâm nhập (Intrusion Prevention System IPS) và IDS là trong khi IDS chỉ theo dõi và báo cáo trạng thái mạng một cách thụ động, IPS vượt xa hơn, nó chủ động ngăn những kẻ xâm nhập thực hiện các hoạt động độc hại.


Hướng dẫn này sẽ khám phá các loại IDS khác nhau, các thành phần của chúng và các loại kỹ thuật phát hiện được sử dụng trong IDS.

1. Đánh giá lịch sử của IDS

James Anderson đã giới thiệu ý tưởng phát hiện xâm nhập hoặc lạm dụng hệ thống bằng cách giám sát mô hình sử dụng mạng bất thường hoặc sử dụng sai hệ thống. Năm 1980, dựa trên báo cáo này, ông đã xuất bản bài báo của mình với tiêu đề "Giám sát và giám sát các mối đe dọa an ninh máy tính". Năm 1984, một hệ thống mới có tên "Hệ thống chuyên gia phát hiện xâm nhập (IDES)" đã được đưa ra. Đây là nguyên mẫu đầu tiên của IDS giám sát các hoạt động của người dùng.

Năm 1988, một IDS khác có tên là "Haystack" đã được giới thiệu sử dụng các mẫu và phân tích thống kê để phát hiện các hoạt động bất thường. Tuy nhiên, IDS này không có tính năng phân tích thời gian thực. Theo mô hình tương tự, Phòng thí nghiệm Lawrence Livermore của Đại học California Davis đã đưa ra một IDS mới có tên là "Network System Monitor (NSM)" để phân tích lưu lượng mạng. Sau đó, dự án này trở thành một IDS được gọi là "Hệ thống phát hiện xâm nhập phân tán (DIDS)." Dựa trên DIDS, "Stalker" đã được phát triển và nó là IDS đầu tiên được bán trên thị trường.


Trong giữa những năm 1990, SAIC đã phát triển một IDS máy chủ có tên là "Hệ thống phát hiện lạm dụng máy tính (CMDS)." Một hệ thống khác có tên "Đo lường sự cố an ninh tự động (ASIM)" được phát triển bởi Trung tâm hỗ trợ mật mã của Không quân Hoa Kỳ để đo lường mức độ hoạt động trái phép và phát hiện các sự kiện mạng bất thường.

Năm 1998, Martin Roesch đưa ra IDS mã nguồn mở cho các mạng được gọi là "SNORT", sau này trở nên rất phổ biến.

2. Các loại IDS

Dựa trên mức độ phân tích, có hai loại IDS chính:

• IDS dựa trên mạng (NIDS): Nó được thiết kế để phát hiện các hoạt động mạng thường không được phát hiện bởi các quy tắc lọc đơn giản của tường lửa. Trong NIDS, các gói riêng lẻ đi qua mạng được giám sát và phân tích để phát hiện bất kỳ hoạt động độc hại nào đang diễn ra trong mạng. "SNORT" là một ví dụ về NIDS.

• IDS dựa trên máy chủ (HIDS): Điều này giám sát các hoạt động đang diễn ra trong một máy chủ hoặc máy chủ riêng lẻ mà chúng ta đã cài đặt IDS. Các hoạt động này có thể là nỗ lực đăng nhập hệ thống, kiểm tra tính toàn vẹn của các tập tin trên hệ thống, truy tìm và phân tích các lệnh gọi hệ thống, nhật ký ứng dụng, v.v.

Hệ thống phát hiện xâm nhập hỗn hợp: Là sự kết hợp của hai hoặc nhiều loại IDS. "Prelude" là một ví dụ về loại IDS như vậy.

3. Các thành phần của IDS

Hệ thống phát hiện xâm nhập bao gồm ba thành phần khác nhau, như được giải thích ngắn gọn bên dưới:

• Bộ cảm biến: Chúng phân tích lưu lượng mạng hoặc hoạt động mạng và chúng tạo ra các sự kiện bảo mật.
• Bàn điều khiển: Mục đích của chúng là giám sát sự kiện và cảnh báo và điều khiển các cảm biến.
• Công cụ phát hiện: Các sự kiện được tạo ra bởi cảm biến được ghi lại bởi một động cơ. Chúng được ghi lại trong một cơ sở dữ liệu. Chúng cũng có các chính sách để tạo cảnh báo tương ứng với các sự kiện bảo mật.

4. Kỹ thuật phát hiện cho IDS

Nói một cách rộng rãi, các kỹ thuật được sử dụng trong IDS có thể được phân loại là:

• Phát hiện dựa trên chữ ký/mẫu: Chúng ta sử dụng các mẫu tấn công đã biết được gọi là "chữ ký" và khớp chúng với nội dung gói mạng để phát hiện các cuộc tấn công. Những chữ ký này được lưu trữ trong cơ sở dữ liệu là phương pháp tấn công được những kẻ xâm nhập sử dụng trong quá khứ.

• Phát hiện truy cập trái phép: Tại đây, IDS được cấu hình để phát hiện các vi phạm truy cập bằng danh sách kiểm soát truy cập (ACL). ACL chứa các chính sách kiểm soát truy cập và nó sử dụng địa chỉ IP của người dùng để xác minh yêu cầu của họ.

• Phát hiện dựa trên sự bất thường: Nó sử dụng một thuật toán máy học để chuẩn bị một mô hình IDS học từ mô hình hoạt động thường xuyên của lưu lượng mạng. Sau đó, mô hình này hoạt động như một mô hình cơ sở mà từ đó lưu lượng mạng đến được so sánh. Nếu lưu lượng truy cập khác với hành vi bình thường, thì cảnh báo sẽ được tạo.

• Phát hiện bất thường giao thức: Trong trường hợp này, trình phát hiện bất thường phát hiện lưu lượng truy cập không phù hợp với các tiêu chuẩn giao thức hiện có.

Hoạt động kinh doanh trực tuyến tăng cao trong thời gian gần đây, với việc các công ty có nhiều văn phòng đặt tại các địa điểm khác nhau trên thế giới. Có nhu cầu chạy mạng máy tính liên tục ở cấp độ internet và cấp độ doanh nghiệp. Việc các công ty trở thành mục tiêu trước con mắt xấu xa của các hacker là điều đương nhiên. Vì vậy, nó đã trở thành một vấn đề rất quan trọng để bảo vệ hệ thống thông tin và mạng. Trong trường hợp này, IDS đã trở thành một thành phần quan trọng trong mạng của tổ chức, đóng vai trò thiết yếu trong việc phát hiện truy cập trái phép vào các hệ thống này.