Bài giảng Hệ điều hành nâng cao - Chương 7 An toàn và bảo mật
Phát hiện đột nhập dựa trên b ất thường
• Các phương ph áp xử lý, phân t ích dữ liệu
và mô hình hoá trong p hát hiện đột nhập
dựa trên bất thường:
– Thống kê (statistics)
– Học máy (machine learning): HMM, state -based.
– Khai kho áng dữ liệu (data mining)
– Mạng nơ ron (neural networks)
60 trang |
Chia sẻ: maiphuongtl | Lượt xem: 2209 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Bài giảng Hệ điều hành nâng cao - Chương 7 An toàn và bảo mật, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Hệ điều hành mạng
nâng cao
Giảng viên: Hoàng Xuân Dậu
Email: dauhoang@vnn.vn
Khoa Công nghệ thông tin 1
Học viện Công nghệ BC-VT
HĐH mạng nâng cao VII. An toàn & bảo mật 2
IV. Các vấn đề về an toàn và
bảo mật mạng
• Các vấn đề về đảm bảo an toàn hệ
thống và thông tin.
• Các yếu tố gây mất an toàn dữ liệu, hệ
thống và mạng.
• Các giải pháp đảm bảo an toàn dữ liệu,
hệ thống và mạng.
HĐH mạng nâng cao VII. An toàn & bảo mật 3
Internet và vấn đề an toàn
• Cùng với sự phát triển của Internet và
mạng WWW, các hệ thống thông tin ngày
càng trở thành đích của các cuộc tấn công
tội phạm và đột nhập.
• Các cuộc tấn công có thể lan toả rất
nhanh và có thể được kích hoạt từ bất cứ
nơi nào trên địa cầu.
• Tấn công mạng ngày càng phổ biến và
tăng nhanh chóng qua từng năm.
HĐH mạng nâng cao VII. An toàn & bảo mật 4
Thiệt hại do các dạng tấn công
HĐH mạng nâng cao VII. An toàn & bảo mật 5
Virus Related Statistics
• From Message Labs , 17 Jan, 2004,
– Processing between 50,000 and 60,000 new copies
per hour, "W32/Mydoom.A has exceeded the
infamous SoBig.F virus in terms of copies intercepted,
and the number continues to rise."
– Message Labs collected over 1.2 Million copies of
W32/Mydoom.A-mm
– At its peak infection rate, about 1 in 12 emails on the
Internet were MyDoom Viruses
HĐH mạng nâng cao VII. An toàn & bảo mật 6
Virus Related Statistics
• From Trend Micro , 16 Jan, 2004,
Computer World Article
– It is estimated that PC Viruses cost
businesses approximately $55 Billion in
damages in 2003.
– The same calculations in were done in 2002
and 2001, at $20-30 Billion and $13 Billion,
respectively.
HĐH mạng nâng cao VII. An toàn & bảo mật 7
Virus Related Statistics
• From Joint CAIDA, ICSI, Silicon Defense, UC
Berkeley, and UC San Diego , 01 February 2003,
• An analysis of the Sapphire/Slammer SQL worm shows:
– "This worm required roughly 10 minutes to spread worldwide
making it by far the fastest worm to date ."
– "In the early stages [the number of compromised hosts] was
doubling in size every 8.5 seconds."
– "At its peak, achieved approximately 3 minutes after it was
released, Sapphire scanned the net at over 55 million IP
addresses per second."
– "It infected at least 75,000 victims and probably considerably
more."
HĐH mạng nâng cao VII. An toàn & bảo mật 8
Tấn công/đột nhập là gì?
• Tấn công (attack), đột nhập (intrusion) lên một
hệ thống là một sự vi phạm (breach) chính
sách an toàn bảo mật của hệ thống đó.
• Các vụ tấn công đều vi phạm chính sách an
toàn bảo mật theo một số cách cụ thể:
– Cho phép kẻ tấn công đọc một số file, nhưng không
cho phép thay đổi các thành phần hệ thống.
– Tấn công làm ngắt quãng dịch vụ, nhưng không cho
phép truy nhập files.
HĐH mạng nâng cao VII. An toàn & bảo mật 9
Các thuộc tính bảo mật thường bị
vi phạm khi hệ thống bị tấn công
• Tính bí mật (Confidentiality): Một cuộc tấn công vi phạm
tính bí mật nếu nó cho phép truy nhập bất hợp pháp đến
dữ liệu.
• Tính toàn vẹn (Integrity): Một cuộc tấn công vi phạm tính
toàn vẹn nếu nó cho phép sửa đổi dữ liệu hoặc trạng
thái hệ thống một cách bất hợp pháp.
• Tính sẵn dùng (Availability): Một cuộc tấn công vi phạm
tính sẵn dùng nếu nó ngăn cản người dùng thông
thường truy cập dịch vụ.
• Điều khiển (Control): Cuộc tấn công giành quyền điều
khiển hệ thống, vi phạm chính sách kiểm soát truy nhập.
Vi phạm về điều khiển sẽ dẫn tới các loại vi phạm về
tính bí mật, toàn vẹn và sẵn dùng.
HĐH mạng nâng cao VII. An toàn & bảo mật 10
Các dạng tấn công máy tính và mạng
• Nghe trộm (Eavesdropping), hoặc sniffing
• Sửa đổi dữ liệu (Data Modification)
• Mạo danh (Identity Spoofing (IP Address
Spoofing))
• Tấn công trên cơ sở mật khẩu
• Tấn công từ chối dịch vụ (DoS, DDoS)
• Tấn công kiểu phát lại hay “người đứng giữa”
(Man-in-the-Middle Attack)
• Tấn công phá mã khoá (Compromised-Key Attack)
• Tấn công tầng ứng dụng (Application-Layer
Attack)
HĐH mạng nâng cao VII. An toàn & bảo mật 11
Nghe trộm, sửa đổi, hoặc sniffing
• Dữ liệu truyền trên mạng hoặc trên máy chủ có
thể bị nghe trộm, đọc trộm, hoặc bị sửa đổi.
• Ví dụ:
– Đọc hộp thư lưu trong các files ở máy chủ POP.
– Đọc/quan sát màn hình của người khác sử dụng các
chương trình điều khiển từ xa, chẳng hạn như
RealVNC.
– Cài các chương trình ghi phím gõ và gửi dữ liệu ra
ngoài.
– Các gói tin truyền trên mạng có thể bị sửa đổi nội
dung mà cả người gửi và người nhận đều không biết.
HĐH mạng nâng cao VII. An toàn & bảo mật 12
Mạo địa chỉ IP
• Hầu hết các máy tính đều dùng địa chỉ IP để
nhận dạng.
• Kẻ tấn công có thể dùng một công cụ đặc biệt
để tạo ra các gói tin có địa chỉ IP nguồn là địa
chỉ cục bộ của một mạng.
• Các gói tin này thường chứa mã độc tấn công
phá hoại, hoặc giành quyền kiểm soát hệ thống.
• Do các gói tin có địa chỉ IP nguồn là địa chỉ cục
bộ nên chúng có khả năng vượt qua một số biện
pháp an ninh, như kiểm soát truy nhập.
HĐH mạng nâng cao VII. An toàn & bảo mật 13
Tấn công trên cơ sở mật khẩu
• Kiểm soát truy nhập dựa trên mật khẩu được
dùng ở hầu hết các hệ điều hành và nhiều phần
mềm mạng.
• Nếu kẻ tấn công có thể truy nhập vào hệ thống
như một người dùng bình thường, nếu đánh cắp
được username và pwd hợp lệ.
• Các kỹ thuật thường dùng:
– Nghe trộm để đánh cắp thông tin tài khoản
– Phá mã mật khẩu đã mã hoá
– Lừa người dùng bấm vào các links, hoặc truy nhập
vào các webiste giả và cung cấp thông tin tài khoản.
HĐH mạng nâng cao VII. An toàn & bảo mật 14
Tấn công từ chối dịch vụ
• Tấn công từ chối dịch (DoS) vụ thường ngăn
chặn người dùng bình thường truy nhập dịch vụ.
• Thường tập trung vào các trang web có nhiều
người truy cập, như Yahoo.com, hoặc
microsoft.com.
• DoS có hai dạng chính:
– Tấn công làm cho máy chủ sử dụng hết tài nguyên hệ
thống và không thể cung cấp dịch vụ;
– Tấn công làm nghẽn đường truyền giữa người sử
dụng và máy chủ.
HĐH mạng nâng cao VII. An toàn & bảo mật 15
Các phương pháp tấn công DoS
• SYN floods
• ICMP floods
• UDP floods
• Teardrop attack
• Tấn công mức ứng dụng
• Nukes
• Tấn công phân tán (DDoS)
HĐH mạng nâng cao VII. An toàn & bảo mật 16
Các loại phần mềm phá hoại
Các chương
trình độc hại
Cần chương
trình chủ
Không cần
chương trình chủ
Trap
doors
Logic
bombs
Trojan
horses Viruses Worms Zombie
Các phần mềm có khả
năng tự nhân bản
HĐH mạng nâng cao VII. An toàn & bảo mật 17
Trap doors (cổng hậu)
• Cổng hậu thường được các lập trình viên tạo ra,
dùng để gỡ rối và test chương trình.
• Cổng hậu thường cho phép truy nhập trực tiếp
vào hệ thống mà không qua các thủ tục kiểm tra
an ninh thông thường.
• Khi cổng hậu được lập trình viên tạo ra để truy
nhập hệ thống bất hợp pháp, nó trở thành một
mối đe doạ đến an ninh hệ thống.
• Rất khó phát hiện ra cổng hậu vì nó thường
được thiết kế và cài đặt khéo léo: cổng hậu chỉ
được kích hoạt trong một ngữ cảnh nào đó.
HĐH mạng nâng cao VII. An toàn & bảo mật 18
Logic bombs (bom logic)
• Bom logic thường được “nhúng” vào các chương trình
bình thường và thường hẹn giờ để “phát nổ” trong một
số điều kiện củ thể.
• Điều kiện để bom “phát nổ” có thể là:
– Sự xuất hiện hoặc biến mất của các files cụ thể.
– Một ngày nào đó, hoặc một ngày trong tuần
• Khi “phát nổ” bom logic có thể xoá dữ liệu, files, tắt cả hệ
thống...
• Ví dụ: Quả bom logic do Tim Lloyd cài lại đã “phát nổ” tại
công ty Omega Engieering vào ngày 30/7/1996, 20 ngày
sau khi Tim Lloyd bị sa thải. Bom logic này đã xoá sạch
các bản thiết kế và các chương trình, gây thiệt hại 10
triệu USD. Tim Lloyd bị phạt 2 triệu USD và 41 tháng tù.
HĐH mạng nâng cao VII. An toàn & bảo mật 19
Trojan horses
• Trojan horses chứa mã độc, thường giả danh
những chương trình có ích, nhằm lừa người
dùng kích hoạt chúng.
• Trojan horses thường được sử dụng để thực thi
gián tiếp các tác vụ, mà tác giả của chúng không
thể thực hiện trực tiếp do không có quyền truy
nhập.
• VD: trong một hệ thống nhiều users, một user có
thể tạo ra một trojan đội lốt một chương trình
hữu ích ở thư mục chung. Khi trojan này được
thực thi bởi một user khác, nó sẽ cho phép tất
cả các users truy nhập vào các files của user đó.
HĐH mạng nâng cao VII. An toàn & bảo mật 20
Zombie
• Zombie là một chương trình được thiết kế
để giành quyền kiểm soát một máy tính có
kết nối Internet, và sử dụng máy tính bị
kiểm soát để tấn công các hệ thống khác.
• Các zombies thường được dùng để tấn
công DDoS các máy chủ/website lớn.
• Rất khó để lần vết và phát hiện ra tác giả
tạo ra và điều khiển các zombies.
HĐH mạng nâng cao VII. An toàn & bảo mật 21
Viruses
• Virus và một chương trình có thể “nhiễm” vào các chương
trình khác, bằng cách sửa đổi các chương trình này.
• Nếu các chương trình đã bị sửa đổi chứa virus được kích
hoạt thì virus sẽ tiếp tục “lây nhiễm” sang các chương
trình khác.
• Giống như virus sinh học, virus máy tính cũng có khả
năng tự nhân bản, tự lây nhiễm sang các chương trình
khác mà nó tiếp xúc.
• Có nhiều con đường lây nhiễm virus: sao chép file, gọi
các ứng dụng và dịch vụ qua mạng, email...
• Virus có thể thực hiện được mọi việc mà một chương
trình thông thường có thể thực hiện. Khi đã lây nhiễm vào
một chương trình, virus tự động được thực hiện khi
chương trình này chạy.
HĐH mạng nâng cao VII. An toàn & bảo mật 22
Viruses: 4 giai đoạn của vòng đời
• Giai đoạn “nằm im”: Virus trong giai đoạn không
được kích hoạt. Trong giai đoạn này virus có thể
được kích hoạt nhờ một sự kiện nào đó.
• Giai đoạn phát tán: Virus “cài” một bản sao của
nó vào các chương trình khác.
• Giai đoạn kích hoạt: virus được kích hoạt để
thực thi các tác vụ đã thiết được định sẵn. Virus
cũng thường được kích hoạt dựa trên một sự
kiện nào đó.
• Giai đoạn thực hiện: thực thi các tác vụ. Một số
viruses có thể vô hại, nhưng một số khác có thể
xoá dữ liệu, chương trình...
HĐH mạng nâng cao VII. An toàn & bảo mật 23
Viruses (tiếp)
• Virus có thể chèn mã
của nó vào đầu hoặc
cuối của chương trình bị
lây nhiễm.
• Khi chương trình nhiễm
virus được thực hiện,
mã virus được thực
hiện trước, sau đó mã
chương trình mới được
thực hiện.
Jump
Mã của
chương
trình bị
lây nhiễm
Mã của
virus
Bắt đầu
HĐH mạng nâng cao VII. An toàn & bảo mật 24
Macro Viruses
• Macro viruses thường lây nhiễm vào các files tài liệu của
MS-Word và ứng dụng office khác.
• Macro viruses hoạt động được nhờ tính năng cho phép
tạo và thực hiện các đoạn mã macro trong các tài liệu
của bộ ứng dụng MS Office.
• Macro viruses thường lây nhiễm vào các files định dạng
chuẩn và từ đó lây nhiễm vào tất cả các files tài liệu
được mở.
• Macro viruses cũng có thể được tự động kích hoạt nhờ
các auto-executed macros: AutoExecute, Automacro v à
Command macro.
• Theo thống kê, macro viruses chiếm khoảng 2/3 tổng
lượng viruses đã được phát hiện.
HĐH mạng nâng cao VII. An toàn & bảo mật 25
E-mail viruses
• E-mail viruses lây nhiễm bằng cách tự động gửi
một bản copy của nó như 1 file đính kèm đến tất
cả các địa chỉ email trong sổ địa chỉ của user
trên máy bị lây nhiễm.
• Nếu user mở email hoặc file đính kèm, virus
được kích hoạt.
• E-mail viruses có thể lây nhiễm rất nhanh chóng,
lan tràn trên khắp thế giới trong một thời gian
ngắn.
HĐH mạng nâng cao VII. An toàn & bảo mật 26
Worms (Sâu)
• Sâu có khả năng tự lây nhiễm từ máy này
sang máy khác mà không cần sự trợ giúp
của người dùng (khác email viruses).
• Khi sâu lây nhiễm vào một máy, nó sử
dụng máy này làm “bàn đạp” để tiếp tục
tấn công các máy khác.
• Các sâu trên mạng sử dụng kết nối mạng
để lây lan từ máy này sang máy khác.
• Khi sâu hoạt động, nó tương tự virus.
HĐH mạng nâng cao VII. An toàn & bảo mật 27
Các phương pháp lây lan của sâu
• Lây lan qua thư điện tử: sử dụng email để
gửi bản copy của sâu đến các máy khác.
• Lây lan thông qua khả năng thực thi từ xa:
Sâu thực thi một bản copy của nó trên một
máy khác.
• Lây lan thông qua khả năng log-in (đăng
nhập) từ xa: sâu đăng nhập vào hệ thống
ở xa như một user và sử dụng lệnh để
copy bản thân từ máy này sang máy khác.
HĐH mạng nâng cao VII. An toàn & bảo mật 28
Ví dụ về sâu
• Code Red (7/2001):
– Lợi dụng một lỗi hổng an ninh trong MS IIS để
lây lan (lỗi tràn bộ đệm khi xử lý các file .ida
của IIS).
– Quét các địa chỉ IP ngẫu nhiên để tìm các hệ
thống có lỗi.
– Lây nhiễm vào 360.000 máy chủ trong vòng
14 giờ.
HĐH mạng nâng cao VII. An toàn & bảo mật 29
Ví dụ về sâu (tiếp)
• Nimda (7/2001): có khả năng lây lan theo
nhiều con đường:
– Qua email từ máy client sang client
– Qua các thư mục chia sẻ trên mạng
– Từ máy chủ web sang trình duyệt
– Từ máy khách đến máy chủ nhờ khai thác
các lỗi máy chủ.
HĐH mạng nâng cao VII. An toàn & bảo mật 30
Các giải pháp đảm bảo an toàn
• Các giải pháp phòng chống viruses,
worms và các phần mềm độc hại
• Các giải pháp kiểm soát truy nhập
• Các giải pháp phát hiện đột nhập
• Các giải pháp mã hoá thông tin
HĐH mạng nâng cao VII. An toàn & bảo mật 31
Các giải pháp chống viruses
• Ngăn chặn viruses lây nhiễm vào hệ
thống:
– Luôn cập nhật hệ thống để hạn chế các lỗi
phần mềm
– Sử dụng các biện pháp kiểm soát truy nhập
• Khi hệ thống đã bị nhiễm virus:
– Phát hiện virus
– Nhận dạng virus
– Loại bỏ virus
HĐH mạng nâng cao VII. An toàn & bảo mật 32
Các thế hệ phần mềm chống virus
• Thế hế 1: quét virus kiểu đơn giản
• Thế hế 2: quét dựa trên heuristics
• Thế hế 3: các bẫy hành vi
• Thế hế 4: bảo vệ toàn diện
HĐH mạng nâng cao VII. An toàn & bảo mật 33
Quét virus kiểu đơn giản
• Cần có các chữ ký (signature) của virus
– Các chuỗi đặc trưng
– Các Wildcards
– Các mismatches
• Chỉ có thể phát hiện các virus đã biết
• Do virus thường làm thay đổi kích thước
của các file ứng dụng, nên có thể kiểm tra
kích thước của các chương trình để phát
hiện virus.
HĐH mạng nâng cao VII. An toàn & bảo mật 34
Quét dựa trên heuristics
• Không dựa trên một chữ ký cụ thể của virus.
• Sử dụng các luật heuristics để xác định khả
năng bị nhiễm virus
• Các kỹ thuật:
– Tìm các đoạn mã thường được virus sử dụng
– Kiểm tra tính toàn vẹn: checksum được đính kèm vào
mỗi chương trình.
• Nếu virus thay đổi chương trình mà không thay đổi
checksum, virus sẽ bị phát hiện.
• Nếu virus thay đổi checksum, có thể sử dụng checksum đã
được mã hoá (hash).
HĐH mạng nâng cao VII. An toàn & bảo mật 35
Các bẫy hành vi
• Phát hiện virus dựa trên hành vi của virus,
không dựa trên cấu trúc virus như hai giải
pháp trên.
• Lợi thế: không cần lưu trữ một lượng lớn
chữ ký virus hay luật heuristics.
• Chỉ cần lưu một tập các hành vi của virus
HĐH mạng nâng cao VII. An toàn & bảo mật 36
Bảo vệ toàn diện
• Thường kết hợp nhiều kỹ thuật để phòng
và diệt virus
• Các kỹ thuật thường bao gồm:
– Kiểm soát truy nhập để ngăn chặn virus xâm
nhập và hạn chế virus sửa đổi các files.
– Quét virus dựa trên chữ ký
– Phát hiện virus dựa trên hành vi
HĐH mạng nâng cao VII. An toàn & bảo mật 37
Các giải pháp kiểm soát truy nhập
• Tường lửa (firewall)
• Access control list (ACL)
• Xác thực (Authentication)
• Trao quyền (Authorization)
HĐH mạng nâng cao VII. An toàn & bảo mật 38
Tường lửa
• Tường lửa có thể dùng để bảo hệ hệ thống và
mạng cục bộ tránh các đe doạ từ bên ngoài.
• Tất cả các gói tin từ trong ra và từ ngoài vào đều
phải đi qua tường lửa.
• Chỉ các gói tin hợp lệ được phép đi qua tường
lửa (xác định bởi chính sách an ninh).
• Bản thân tường lửa phải miễn dịch với các loại
tấn công.
• Tường lửa có thể ngăn chặn nhiều hình thức tấn
công mạng, như IP spoofing.
HĐH mạng nâng cao VII. An toàn & bảo mật 39
Tôpô mạng với tường lửa
HĐH mạng nâng cao VII. An toàn & bảo mật 40
Tôpô mạng với tường lửa
HĐH mạng nâng cao VII. An toàn & bảo mật 41
Các loại tường lửa
• Packet-Filtering router: Áp dụng một tập
các luật cho mỗi gói tin đi/đến để quyết
định chuyển tiếp hay loại bỏ gói tin.
• Application-level gateway: còn gọi là proxy
server, thường dùng để phát lại (relay)
traffic của mức ứng dụng.
• Circuit-level gateway: hoạt động tương tự
các bộ chuyển mạch.
HĐH mạng nâng cao VII. An toàn & bảo mật 42
Packet-filtering router/firewall
HĐH mạng nâng cao VII. An toàn & bảo mật 43
Application-level gateway
HĐH mạng nâng cao VII. An toàn & bảo mật 44
Circuit-level gateway
HĐH mạng nâng cao VII. An toàn & bảo mật 45
Kỹ thuật kiểm soát truy nhập
của tường lửa
• Kiểm soát dịch vụ: xác định dịch vụ nào có thể
được truy nhập, hướng đi ra hay đi vào.
• Kiểm soát hướng: điều khiển hướng được phép
đi của các gói tin của mỗi dịch vụ
• Kiểm soát users: xác định người dùng nào được
quyền truy nhập; thường áp dụng cho người
dùng mạng nội bộ
• Kiểm soát hành vi: kiểm soát việc sử dụng các
dịch vụ cụ thể. Ví dụ tường lửa có thể lọc để loại
bỏ các thư rác và hạn chế truy nhập đến một bộ
phận thông tin của máy chủ web.
HĐH mạng nâng cao VII. An toàn & bảo mật 46
Các hạn chế của tường lửa
• Không thể chống lại các tấn công không đi
qua nó.
• Không thể chống lại các tấn công hướng
dữ liệu, hoặc tấn công vào các lỗ hổng an
ninh của các phần mềm.
• Không thể chống lại các hiểm hoạ từ bên
trong (mạng nội bộ).
• Không thể ngăn chặn việc vận chuyển các
chương trình hoặc các file bị nhiễm virus.
HĐH mạng nâng cao VII. An toàn & bảo mật 47
Access control list (ACL)
• Là danh sách các quyền truy nhập gắn liền với
một đối tượng.
• Có 4 giải pháp kiểm soát quyền truy nhập một
đối tượng:
– Tuỳ chọn
– Bắt buộc
– Dựa trên vai trò
– Dựa trên luật
• Kiểm soát quyền truy nhập của hệ thống file và
kiểm soát quyền truy nhập mạng.
HĐH mạng nâng cao VII. An toàn & bảo mật 48
Xác thực (Authentication)
• Là quá trình xác minh tính chân thực của
thông tin mà người dùng cung cấp.
• Xác thực dựa trên:
– What you are: vân tay, các dấu hiệu đặc biệt
– What you have: CMND, thẻ ATM
– What you know: mật khẩu,PIN
– What you do: giọng nói, chữ ký
HĐH mạng nâng cao VII. An toàn & bảo mật 49
Xác thực: các ví dụ
• Kerberos:
– Là giao thức xác thức mạng máy tính, cho phép các
thực thể trong mạng giao tiếp với nhau trong môi
trường mạng không an toàn để kiểm chứng thông tin
nhận dạng về nhau một cách an toàn.
– Thường dùng trong các mạng client/server để client
và server kiểm chứng thông tin nhận dạng của nhau.
• SSH:
– Là một giao thức mạng cho phép tạo một kết nối an
toàn giữa client và server ở xa.
– Sử dụng mã hoá công khai để để xác thực máy chủ
– Đảm vào tính bí mật và toàn vẹn của thông tin
HĐH mạng nâng cao VII. An toàn & bảo mật 50
Xác thực: các ví dụ
• One-time password: password dùng một lần,
thường được tạo ra sử dụng một thuật toán
dựa trên password cũ.
• RADIUS (Remote Authentication Dial In User
Service): là một giao thức truy nhập mạng
kiểu AAA (authentication, authorization and
accounting).
• DIAMETER: là phiên bản kế tiếp của
RADIUS.
• Biometerics: xác thực dựa trên các yếu tố
sinh học.
HĐH mạng nâng cao VII. An toàn & bảo mật 51
Trao quyền (Authorization)
• Xác định các tài nguyên mà người dùng
được phép truy nhập sau khi người dùng
đã được xác thực.
• VD: Quản trị một forum:
– Admins: có toàn quyền quản trị forum
– Moderators: có quyền quản trị một/nhiều
nhóm thảo luận
– Users: được phép xem và post bài viết
– Guests: chỉ được phép xem bài viết
HĐH mạng nâng cao VII. An toàn & bảo mật 52
Các giải pháp phát hiện đột nhập
• Phát hiện đột nhập dựa trên chữ ký
(Signature-based / misuse instrusion
detection)
• Phát hiện đột nhập dựa trên các bất
thường (Anomaly instrusion detection)
• Phát hiện đột nhập cho mạng (Network-
based instrusion detection)
• Phát hiện đột nhập cho máy chủ (Host-
based instrusion detection)
HĐH mạng nâng cao VII. An toàn & bảo mật 53
Các giải pháp phát hiện đột nhập
• Dựa trên phương pháp phân tích (analysis
methods), có hai kỹ thuật phát hiện đột
nhập (instrusion detection):
– Phát hiện đột nhập dựa trên chữ ký
(Signature-based / misuse instrusion
detection)
– Phát hiện đột nhập dựa trên các bất thường
(Anomaly instrusion detection)
HĐH mạng nâng cao VII. An toàn & bảo mật 54
Các giải pháp phát hiện đột nhập
• Dựa trên nguồn cung cấp thông tin (information
sources), có hai loại hệ thống phát hiện đột
nhập:
– Các hệ thống phát hiện đột nhập cho mạng (Network-
based instrusion detection systems): phân t ích các
gói tin truyền qua mạng để phát hiện đột nhập.
– Các hệ thống phát hiện đột nhập cho máy chủ (Host-
based instrusion detection systems): ph át hiện đột
nhập nhờ phân tích thông tin trong nội bộ một hệ
thống.
HĐH mạng nâng cao VII. An toàn & bảo mật 55
Phát hiện đột nhập dựa trên chữ ký
• Xây dựng cơ sở dữ liệu các chữ ký của các loại
đột nhập đã biết;
• Quan sát các hành vi của hệ thống, và cảnh báo
nếu phát hiện chữ ký của đột nhập.
• Ưu điểm: có khả năng phát hiện các đột nhập
đã biết một cách hiệu quả.
• Nhược điểm: không có khả năng phát hiện các
đột nhập mới, do chữ ký của chúng chưa có
trong cơ sở dữ liệu các chữ ký.
HĐH mạng nâng cao VII. An toàn & bảo mật 56
Phát hiện đột nhập dựa trên bất thường
• Xây dựng hồ sơ (profile) của đối tượng
trong chế độ làm việc bình thường.
• Quan sát hành vi hiện tại của hệ thống và
cảnh báo nếu có khác biệt rõ nét giữa
hành vi hiện tại và hồ sơ của đối tượng.
• Phương pháp này dựa trên giả thiết: các
hành vi đột nhập thường có quan hệ chặt
chẽ với các hành vi bất thường.
HĐH mạng nâng cao VII. An toàn & bảo mật 57
Phát hiện đột nhập dựa trên bất thường
HĐH mạng nâng cao VII. An toàn & bảo mật 58
Phát hiện đột nhập dựa trên bất thường
• Ưu điểm:
– Có tiềm năng phát hiện các loại đột nhập mới
mà không yêu cầu biết trước thông tin về
chúng.
• Nhược điểm:
– Tỷ lệ cảnh báo sai tương đối cao so với
phương pháp dựa trên chữ ký
– Tiêu tốn nhiều tài nguyên hệ thống cho việc
xây dựng hồ sơ đối tượng và phân tích hành
vi hiện tại.
HĐH mạng nâng cao VII. An toàn & bảo mật 59
Phát hiện đột nhập dựa trên bất thường
• Các phương pháp xử lý, phân tích dữ liệu
và mô hình hoá trong phát hiện đột nhập
dựa trên bất thường:
– Thống kê (statistics)
– Học máy (machine learning): HMM, state -
based.
– Khai khoáng dữ liệu (data mining)
– Mạng nơ ron (neural networks)
HĐH mạng nâng cao VII. An toàn & bảo mật 60
HMM-
based
Anomaly
detection
Các file đính kèm theo tài liệu này:
- he_dieu_hanh_mang_nang_cao_chuong_7_an_toan_va_bao_mat_8786.pdf