Bài giảng Hệ điều hành nâng cao - Chương 7 An toàn và bảo mật

Hệ điều hành mạng nâng cao Giảng viên: Hoàng Xuân Dậu Email: dauhoang@vnn.vn Khoa Công nghệ thông tin 1 Học viện Công nghệ BC-VT HĐH mạng nâng cao VII. An toàn & bảo mật 2 IV. Các vấn đề về an toàn và bảo mật mạng • Các vấn đề về đảm bảo an toàn hệ thống và thông tin. • Các yếu tố gây mất an toàn dữ liệu, hệ thống và mạng. • Các giải pháp đảm bảo an toàn dữ liệu, hệ thống và mạng. HĐH mạng nâng cao VII. An toàn & bảo mật 3 Internet và vấn đề an toàn • Cùng với sự phát triển của Internet và mạng WWW, các hệ thống thông tin ngày càng trở thành đích của các cuộc tấn công tội phạm và đột nhập. • Các cuộc tấn công có thể lan toả rất nhanh và có thể được kích hoạt từ bất cứ nơi nào trên địa cầu. • Tấn công mạng ngày càng phổ biến và tăng nhanh chóng qua từng năm. HĐH mạng nâng cao VII. An toàn & bảo mật 4 Thiệt hại do các dạng tấn công HĐH mạng nâng cao VII. An toàn & bảo mật 5 Virus Related Statistics • From Message Labs , 17 Jan, 2004, – Processing between 50,000 and 60,000 new copies per hour, "W32/Mydoom.A has exceeded the infamous SoBig.F virus in terms of copies intercepted, and the number continues to rise." – Message Labs collected over 1.2 Million copies of W32/Mydoom.A-mm – At its peak infection rate, about 1 in 12 emails on the Internet were MyDoom Viruses HĐH mạng nâng cao VII. An toàn & bảo mật 6 Virus Related Statistics • From Trend Micro , 16 Jan, 2004, Computer World Article – It is estimated that PC Viruses cost businesses approximately $55 Billion in damages in 2003. – The same calculations in were done in 2002 and 2001, at $20-30 Billion and $13 Billion, respectively. HĐH mạng nâng cao VII. An toàn & bảo mật 7 Virus Related Statistics • From Joint CAIDA, ICSI, Silicon Defense, UC Berkeley, and UC San Diego , 01 February 2003, • An analysis of the Sapphire/Slammer SQL worm shows: – "This worm required roughly 10 minutes to spread worldwide making it by far the fastest worm to date ." – "In the early stages [the number of compromised hosts] was doubling in size every 8.5 seconds." – "At its peak, achieved approximately 3 minutes after it was released, Sapphire scanned the net at over 55 million IP addresses per second." – "It infected at least 75,000 victims and probably considerably more." HĐH mạng nâng cao VII. An toàn & bảo mật 8 Tấn công/đột nhập là gì? • Tấn công (attack), đột nhập (intrusion) lên một hệ thống là một sự vi phạm (breach) chính sách an toàn bảo mật của hệ thống đó. • Các vụ tấn công đều vi phạm chính sách an toàn bảo mật theo một số cách cụ thể: – Cho phép kẻ tấn công đọc một số file, nhưng không cho phép thay đổi các thành phần hệ thống. – Tấn công làm ngắt quãng dịch vụ, nhưng không cho phép truy nhập files. HĐH mạng nâng cao VII. An toàn & bảo mật 9 Các thuộc tính bảo mật thường bị vi phạm khi hệ thống bị tấn công • Tính bí mật (Confidentiality): Một cuộc tấn công vi phạm tính bí mật nếu nó cho phép truy nhập bất hợp pháp đến dữ liệu. • Tính toàn vẹn (Integrity): Một cuộc tấn công vi phạm tính toàn vẹn nếu nó cho phép sửa đổi dữ liệu hoặc trạng thái hệ thống một cách bất hợp pháp. • Tính sẵn dùng (Availability): Một cuộc tấn công vi phạm tính sẵn dùng nếu nó ngăn cản người dùng thông thường truy cập dịch vụ. • Điều khiển (Control): Cuộc tấn công giành quyền điều khiển hệ thống, vi phạm chính sách kiểm soát truy nhập. Vi phạm về điều khiển sẽ dẫn tới các loại vi phạm về tính bí mật, toàn vẹn và sẵn dùng. HĐH mạng nâng cao VII. An toàn & bảo mật 10 Các dạng tấn công máy tính và mạng • Nghe trộm (Eavesdropping), hoặc sniffing • Sửa đổi dữ liệu (Data Modification) • Mạo danh (Identity Spoofing (IP Address Spoofing)) • Tấn công trên cơ sở mật khẩu • Tấn công từ chối dịch vụ (DoS, DDoS) • Tấn công kiểu phát lại hay “người đứng giữa” (Man-in-the-Middle Attack) • Tấn công phá mã khoá (Compromised-Key Attack) • Tấn công tầng ứng dụng (Application-Layer Attack) HĐH mạng nâng cao VII. An toàn & bảo mật 11 Nghe trộm, sửa đổi, hoặc sniffing • Dữ liệu truyền trên mạng hoặc trên máy chủ có thể bị nghe trộm, đọc trộm, hoặc bị sửa đổi. • Ví dụ: – Đọc hộp thư lưu trong các files ở máy chủ POP. – Đọc/quan sát màn hình của người khác sử dụng các chương trình điều khiển từ xa, chẳng hạn như RealVNC. – Cài các chương trình ghi phím gõ và gửi dữ liệu ra ngoài. – Các gói tin truyền trên mạng có thể bị sửa đổi nội dung mà cả người gửi và người nhận đều không biết. HĐH mạng nâng cao VII. An toàn & bảo mật 12 Mạo địa chỉ IP • Hầu hết các máy tính đều dùng địa chỉ IP để nhận dạng. • Kẻ tấn công có thể dùng một công cụ đặc biệt để tạo ra các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ của một mạng. • Các gói tin này thường chứa mã độc tấn công phá hoại, hoặc giành quyền kiểm soát hệ thống. • Do các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ nên chúng có khả năng vượt qua một số biện pháp an ninh, như kiểm soát truy nhập. HĐH mạng nâng cao VII. An toàn & bảo mật 13 Tấn công trên cơ sở mật khẩu • Kiểm soát truy nhập dựa trên mật khẩu được dùng ở hầu hết các hệ điều hành và nhiều phần mềm mạng. • Nếu kẻ tấn công có thể truy nhập vào hệ thống như một người dùng bình thường, nếu đánh cắp được username và pwd hợp lệ. • Các kỹ thuật thường dùng: – Nghe trộm để đánh cắp thông tin tài khoản – Phá mã mật khẩu đã mã hoá – Lừa người dùng bấm vào các links, hoặc truy nhập vào các webiste giả và cung cấp thông tin tài khoản. HĐH mạng nâng cao VII. An toàn & bảo mật 14 Tấn công từ chối dịch vụ • Tấn công từ chối dịch (DoS) vụ thường ngăn chặn người dùng bình thường truy nhập dịch vụ. • Thường tập trung vào các trang web có nhiều người truy cập, như Yahoo.com, hoặc microsoft.com. • DoS có hai dạng chính: – Tấn công làm cho máy chủ sử dụng hết tài nguyên hệ thống và không thể cung cấp dịch vụ; – Tấn công làm nghẽn đường truyền giữa người sử dụng và máy chủ. HĐH mạng nâng cao VII. An toàn & bảo mật 15 Các phương pháp tấn công DoS • SYN floods • ICMP floods • UDP floods • Teardrop attack • Tấn công mức ứng dụng • Nukes • Tấn công phân tán (DDoS) HĐH mạng nâng cao VII. An toàn & bảo mật 16 Các loại phần mềm phá hoại Các chương trình độc hại Cần chương trình chủ Không cần chương trình chủ Trap doors Logic bombs Trojan horses Viruses Worms Zombie Các phần mềm có khả năng tự nhân bản HĐH mạng nâng cao VII. An toàn & bảo mật 17 Trap doors (cổng hậu) • Cổng hậu thường được các lập trình viên tạo ra, dùng để gỡ rối và test chương trình. • Cổng hậu thường cho phép truy nhập trực tiếp vào hệ thống mà không qua các thủ tục kiểm tra an ninh thông thường. • Khi cổng hậu được lập trình viên tạo ra để truy nhập hệ thống bất hợp pháp, nó trở thành một mối đe doạ đến an ninh hệ thống. • Rất khó phát hiện ra cổng hậu vì nó thường được thiết kế và cài đặt khéo léo: cổng hậu chỉ được kích hoạt trong một ngữ cảnh nào đó. HĐH mạng nâng cao VII. An toàn & bảo mật 18 Logic bombs (bom logic) • Bom logic thường được “nhúng” vào các chương trình bình thường và thường hẹn giờ để “phát nổ” trong một số điều kiện củ thể. • Điều kiện để bom “phát nổ” có thể là: – Sự xuất hiện hoặc biến mất của các files cụ thể. – Một ngày nào đó, hoặc một ngày trong tuần • Khi “phát nổ” bom logic có thể xoá dữ liệu, files, tắt cả hệ thống... • Ví dụ: Quả bom logic do Tim Lloyd cài lại đã “phát nổ” tại công ty Omega Engieering vào ngày 30/7/1996, 20 ngày sau khi Tim Lloyd bị sa thải. Bom logic này đã xoá sạch các bản thiết kế và các chương trình, gây thiệt hại 10 triệu USD. Tim Lloyd bị phạt 2 triệu USD và 41 tháng tù. HĐH mạng nâng cao VII. An toàn & bảo mật 19 Trojan horses • Trojan horses chứa mã độc, thường giả danh những chương trình có ích, nhằm lừa người dùng kích hoạt chúng. • Trojan horses thường được sử dụng để thực thi gián tiếp các tác vụ, mà tác giả của chúng không thể thực hiện trực tiếp do không có quyền truy nhập. • VD: trong một hệ thống nhiều users, một user có thể tạo ra một trojan đội lốt một chương trình hữu ích ở thư mục chung. Khi trojan này được thực thi bởi một user khác, nó sẽ cho phép tất cả các users truy nhập vào các files của user đó. HĐH mạng nâng cao VII. An toàn & bảo mật 20 Zombie • Zombie là một chương trình được thiết kế để giành quyền kiểm soát một máy tính có kết nối Internet, và sử dụng máy tính bị kiểm soát để tấn công các hệ thống khác. • Các zombies thường được dùng để tấn công DDoS các máy chủ/website lớn. • Rất khó để lần vết và phát hiện ra tác giả tạo ra và điều khiển các zombies. HĐH mạng nâng cao VII. An toàn & bảo mật 21 Viruses • Virus và một chương trình có thể “nhiễm” vào các chương trình khác, bằng cách sửa đổi các chương trình này. • Nếu các chương trình đã bị sửa đổi chứa virus được kích hoạt thì virus sẽ tiếp tục “lây nhiễm” sang các chương trình khác. • Giống như virus sinh học, virus máy tính cũng có khả năng tự nhân bản, tự lây nhiễm sang các chương trình khác mà nó tiếp xúc. • Có nhiều con đường lây nhiễm virus: sao chép file, gọi các ứng dụng và dịch vụ qua mạng, email... • Virus có thể thực hiện được mọi việc mà một chương trình thông thường có thể thực hiện. Khi đã lây nhiễm vào một chương trình, virus tự động được thực hiện khi chương trình này chạy. HĐH mạng nâng cao VII. An toàn & bảo mật 22 Viruses: 4 giai đoạn của vòng đời • Giai đoạn “nằm im”: Virus trong giai đoạn không được kích hoạt. Trong giai đoạn này virus có thể được kích hoạt nhờ một sự kiện nào đó. • Giai đoạn phát tán: Virus “cài” một bản sao của nó vào các chương trình khác. • Giai đoạn kích hoạt: virus được kích hoạt để thực thi các tác vụ đã thiết được định sẵn. Virus cũng thường được kích hoạt dựa trên một sự kiện nào đó. • Giai đoạn thực hiện: thực thi các tác vụ. Một số viruses có thể vô hại, nhưng một số khác có thể xoá dữ liệu, chương trình... HĐH mạng nâng cao VII. An toàn & bảo mật 23 Viruses (tiếp) • Virus có thể chèn mã của nó vào đầu hoặc cuối của chương trình bị lây nhiễm. • Khi chương trình nhiễm virus được thực hiện, mã virus được thực hiện trước, sau đó mã chương trình mới được thực hiện. Jump Mã của chương trình bị lây nhiễm Mã của virus Bắt đầu HĐH mạng nâng cao VII. An toàn & bảo mật 24 Macro Viruses • Macro viruses thường lây nhiễm vào các files tài liệu của MS-Word và ứng dụng office khác. • Macro viruses hoạt động được nhờ tính năng cho phép tạo và thực hiện các đoạn mã macro trong các tài liệu của bộ ứng dụng MS Office. • Macro viruses thường lây nhiễm vào các files định dạng chuẩn và từ đó lây nhiễm vào tất cả các files tài liệu được mở. • Macro viruses cũng có thể được tự động kích hoạt nhờ các auto-executed macros: AutoExecute, Automacro v à Command macro. • Theo thống kê, macro viruses chiếm khoảng 2/3 tổng lượng viruses đã được phát hiện. HĐH mạng nâng cao VII. An toàn & bảo mật 25 E-mail viruses • E-mail viruses lây nhiễm bằng cách tự động gửi một bản copy của nó như 1 file đính kèm đến tất cả các địa chỉ email trong sổ địa chỉ của user trên máy bị lây nhiễm. • Nếu user mở email hoặc file đính kèm, virus được kích hoạt. • E-mail viruses có thể lây nhiễm rất nhanh chóng, lan tràn trên khắp thế giới trong một thời gian ngắn. HĐH mạng nâng cao VII. An toàn & bảo mật 26 Worms (Sâu) • Sâu có khả năng tự lây nhiễm từ máy này sang máy khác mà không cần sự trợ giúp của người dùng (khác email viruses). • Khi sâu lây nhiễm vào một máy, nó sử dụng máy này làm “bàn đạp” để tiếp tục tấn công các máy khác. • Các sâu trên mạng sử dụng kết nối mạng để lây lan từ máy này sang máy khác. • Khi sâu hoạt động, nó tương tự virus. HĐH mạng nâng cao VII. An toàn & bảo mật 27 Các phương pháp lây lan của sâu • Lây lan qua thư điện tử: sử dụng email để gửi bản copy của sâu đến các máy khác. • Lây lan thông qua khả năng thực thi từ xa: Sâu thực thi một bản copy của nó trên một máy khác. • Lây lan thông qua khả năng log-in (đăng nhập) từ xa: sâu đăng nhập vào hệ thống ở xa như một user và sử dụng lệnh để copy bản thân từ máy này sang máy khác. HĐH mạng nâng cao VII. An toàn & bảo mật 28 Ví dụ về sâu • Code Red (7/2001): – Lợi dụng một lỗi hổng an ninh trong MS IIS để lây lan (lỗi tràn bộ đệm khi xử lý các file .ida của IIS). – Quét các địa chỉ IP ngẫu nhiên để tìm các hệ thống có lỗi. – Lây nhiễm vào 360.000 máy chủ trong vòng 14 giờ. HĐH mạng nâng cao VII. An toàn & bảo mật 29 Ví dụ về sâu (tiếp) • Nimda (7/2001): có khả năng lây lan theo nhiều con đường: – Qua email từ máy client sang client – Qua các thư mục chia sẻ trên mạng – Từ máy chủ web sang trình duyệt – Từ máy khách đến máy chủ nhờ khai thác các lỗi máy chủ. HĐH mạng nâng cao VII. An toàn & bảo mật 30 Các giải pháp đảm bảo an toàn • Các giải pháp phòng chống viruses, worms và các phần mềm độc hại • Các giải pháp kiểm soát truy nhập • Các giải pháp phát hiện đột nhập • Các giải pháp mã hoá thông tin HĐH mạng nâng cao VII. An toàn & bảo mật 31 Các giải pháp chống viruses • Ngăn chặn viruses lây nhiễm vào hệ thống: – Luôn cập nhật hệ thống để hạn chế các lỗi phần mềm – Sử dụng các biện pháp kiểm soát truy nhập • Khi hệ thống đã bị nhiễm virus: – Phát hiện virus – Nhận dạng virus – Loại bỏ virus HĐH mạng nâng cao VII. An toàn & bảo mật 32 Các thế hệ phần mềm chống virus • Thế hế 1: quét virus kiểu đơn giản • Thế hế 2: quét dựa trên heuristics • Thế hế 3: các bẫy hành vi • Thế hế 4: bảo vệ toàn diện HĐH mạng nâng cao VII. An toàn & bảo mật 33 Quét virus kiểu đơn giản • Cần có các chữ ký (signature) của virus – Các chuỗi đặc trưng – Các Wildcards – Các mismatches • Chỉ có thể phát hiện các virus đã biết • Do virus thường làm thay đổi kích thước của các file ứng dụng, nên có thể kiểm tra kích thước của các chương trình để phát hiện virus. HĐH mạng nâng cao VII. An toàn & bảo mật 34 Quét dựa trên heuristics • Không dựa trên một chữ ký cụ thể của virus. • Sử dụng các luật heuristics để xác định khả năng bị nhiễm virus • Các kỹ thuật: – Tìm các đoạn mã thường được virus sử dụng – Kiểm tra tính toàn vẹn: checksum được đính kèm vào mỗi chương trình. • Nếu virus thay đổi chương trình mà không thay đổi checksum, virus sẽ bị phát hiện. • Nếu virus thay đổi checksum, có thể sử dụng checksum đã được mã hoá (hash). HĐH mạng nâng cao VII. An toàn & bảo mật 35 Các bẫy hành vi • Phát hiện virus dựa trên hành vi của virus, không dựa trên cấu trúc virus như hai giải pháp trên. • Lợi thế: không cần lưu trữ một lượng lớn chữ ký virus hay luật heuristics. • Chỉ cần lưu một tập các hành vi của virus HĐH mạng nâng cao VII. An toàn & bảo mật 36 Bảo vệ toàn diện • Thường kết hợp nhiều kỹ thuật để phòng và diệt virus • Các kỹ thuật thường bao gồm: – Kiểm soát truy nhập để ngăn chặn virus xâm nhập và hạn chế virus sửa đổi các files. – Quét virus dựa trên chữ ký – Phát hiện virus dựa trên hành vi HĐH mạng nâng cao VII. An toàn & bảo mật 37 Các giải pháp kiểm soát truy nhập • Tường lửa (firewall) • Access control list (ACL) • Xác thực (Authentication) • Trao quyền (Authorization) HĐH mạng nâng cao VII. An toàn & bảo mật 38 Tường lửa • Tường lửa có thể dùng để bảo hệ hệ thống và mạng cục bộ tránh các đe doạ từ bên ngoài. • Tất cả các gói tin từ trong ra và từ ngoài vào đều phải đi qua tường lửa. • Chỉ các gói tin hợp lệ được phép đi qua tường lửa (xác định bởi chính sách an ninh). • Bản thân tường lửa phải miễn dịch với các loại tấn công. • Tường lửa có thể ngăn chặn nhiều hình thức tấn công mạng, như IP spoofing. HĐH mạng nâng cao VII. An toàn & bảo mật 39 Tôpô mạng với tường lửa HĐH mạng nâng cao VII. An toàn & bảo mật 40 Tôpô mạng với tường lửa HĐH mạng nâng cao VII. An toàn & bảo mật 41 Các loại tường lửa • Packet-Filtering router: Áp dụng một tập các luật cho mỗi gói tin đi/đến để quyết định chuyển tiếp hay loại bỏ gói tin. • Application-level gateway: còn gọi là proxy server, thường dùng để phát lại (relay) traffic của mức ứng dụng. • Circuit-level gateway: hoạt động tương tự các bộ chuyển mạch. HĐH mạng nâng cao VII. An toàn & bảo mật 42 Packet-filtering router/firewall HĐH mạng nâng cao VII. An toàn & bảo mật 43 Application-level gateway HĐH mạng nâng cao VII. An toàn & bảo mật 44 Circuit-level gateway HĐH mạng nâng cao VII. An toàn & bảo mật 45 Kỹ thuật kiểm soát truy nhập của tường lửa • Kiểm soát dịch vụ: xác định dịch vụ nào có thể được truy nhập, hướng đi ra hay đi vào. • Kiểm soát hướng: điều khiển hướng được phép đi của các gói tin của mỗi dịch vụ • Kiểm soát users: xác định người dùng nào được quyền truy nhập; thường áp dụng cho người dùng mạng nội bộ • Kiểm soát hành vi: kiểm soát việc sử dụng các dịch vụ cụ thể. Ví dụ tường lửa có thể lọc để loại bỏ các thư rác và hạn chế truy nhập đến một bộ phận thông tin của máy chủ web. HĐH mạng nâng cao VII. An toàn & bảo mật 46 Các hạn chế của tường lửa • Không thể chống lại các tấn công không đi qua nó. • Không thể chống lại các tấn công hướng dữ liệu, hoặc tấn công vào các lỗ hổng an ninh của các phần mềm. • Không thể chống lại các hiểm hoạ từ bên trong (mạng nội bộ). • Không thể ngăn chặn việc vận chuyển các chương trình hoặc các file bị nhiễm virus. HĐH mạng nâng cao VII. An toàn & bảo mật 47 Access control list (ACL) • Là danh sách các quyền truy nhập gắn liền với một đối tượng. • Có 4 giải pháp kiểm soát quyền truy nhập một đối tượng: – Tuỳ chọn – Bắt buộc – Dựa trên vai trò – Dựa trên luật • Kiểm soát quyền truy nhập của hệ thống file và kiểm soát quyền truy nhập mạng. HĐH mạng nâng cao VII. An toàn & bảo mật 48 Xác thực (Authentication) • Là quá trình xác minh tính chân thực của thông tin mà người dùng cung cấp. • Xác thực dựa trên: – What you are: vân tay, các dấu hiệu đặc biệt – What you have: CMND, thẻ ATM – What you know: mật khẩu,PIN – What you do: giọng nói, chữ ký HĐH mạng nâng cao VII. An toàn & bảo mật 49 Xác thực: các ví dụ • Kerberos: – Là giao thức xác thức mạng máy tính, cho phép các thực thể trong mạng giao tiếp với nhau trong môi trường mạng không an toàn để kiểm chứng thông tin nhận dạng về nhau một cách an toàn. – Thường dùng trong các mạng client/server để client và server kiểm chứng thông tin nhận dạng của nhau. • SSH: – Là một giao thức mạng cho phép tạo một kết nối an toàn giữa client và server ở xa. – Sử dụng mã hoá công khai để để xác thực máy chủ – Đảm vào tính bí mật và toàn vẹn của thông tin HĐH mạng nâng cao VII. An toàn & bảo mật 50 Xác thực: các ví dụ • One-time password: password dùng một lần, thường được tạo ra sử dụng một thuật toán dựa trên password cũ. • RADIUS (Remote Authentication Dial In User Service): là một giao thức truy nhập mạng kiểu AAA (authentication, authorization and accounting). • DIAMETER: là phiên bản kế tiếp của RADIUS. • Biometerics: xác thực dựa trên các yếu tố sinh học. HĐH mạng nâng cao VII. An toàn & bảo mật 51 Trao quyền (Authorization) • Xác định các tài nguyên mà người dùng được phép truy nhập sau khi người dùng đã được xác thực. • VD: Quản trị một forum: – Admins: có toàn quyền quản trị forum – Moderators: có quyền quản trị một/nhiều nhóm thảo luận – Users: được phép xem và post bài viết – Guests: chỉ được phép xem bài viết HĐH mạng nâng cao VII. An toàn & bảo mật 52 Các giải pháp phát hiện đột nhập • Phát hiện đột nhập dựa trên chữ ký (Signature-based / misuse instrusion detection) • Phát hiện đột nhập dựa trên các bất thường (Anomaly instrusion detection) • Phát hiện đột nhập cho mạng (Network- based instrusion detection) • Phát hiện đột nhập cho máy chủ (Host- based instrusion detection) HĐH mạng nâng cao VII. An toàn & bảo mật 53 Các giải pháp phát hiện đột nhập • Dựa trên phương pháp phân tích (analysis methods), có hai kỹ thuật phát hiện đột nhập (instrusion detection): – Phát hiện đột nhập dựa trên chữ ký (Signature-based / misuse instrusion detection) – Phát hiện đột nhập dựa trên các bất thường (Anomaly instrusion detection) HĐH mạng nâng cao VII. An toàn & bảo mật 54 Các giải pháp phát hiện đột nhập • Dựa trên nguồn cung cấp thông tin (information sources), có hai loại hệ thống phát hiện đột nhập: – Các hệ thống phát hiện đột nhập cho mạng (Network- based instrusion detection systems): phân t ích các gói tin truyền qua mạng để phát hiện đột nhập. – Các hệ thống phát hiện đột nhập cho máy chủ (Host- based instrusion detection systems): ph át hiện đột nhập nhờ phân tích thông tin trong nội bộ một hệ thống. HĐH mạng nâng cao VII. An toàn & bảo mật 55 Phát hiện đột nhập dựa trên chữ ký • Xây dựng cơ sở dữ liệu các chữ ký của các loại đột nhập đã biết; • Quan sát các hành vi của hệ thống, và cảnh báo nếu phát hiện chữ ký của đột nhập. • Ưu điểm: có khả năng phát hiện các đột nhập đã biết một cách hiệu quả. • Nhược điểm: không có khả năng phát hiện các đột nhập mới, do chữ ký của chúng chưa có trong cơ sở dữ liệu các chữ ký. HĐH mạng nâng cao VII. An toàn & bảo mật 56 Phát hiện đột nhập dựa trên bất thường • Xây dựng hồ sơ (profile) của đối tượng trong chế độ làm việc bình thường. • Quan sát hành vi hiện tại của hệ thống và cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và hồ sơ của đối tượng. • Phương pháp này dựa trên giả thiết: các hành vi đột nhập thường có quan hệ chặt chẽ với các hành vi bất thường. HĐH mạng nâng cao VII. An toàn & bảo mật 57 Phát hiện đột nhập dựa trên bất thường HĐH mạng nâng cao VII. An toàn & bảo mật 58 Phát hiện đột nhập dựa trên bất thường • Ưu điểm: – Có tiềm năng phát hiện các loại đột nhập mới mà không yêu cầu biết trước thông tin về chúng. • Nhược điểm: – Tỷ lệ cảnh báo sai tương đối cao so với phương pháp dựa trên chữ ký – Tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng và phân tích hành vi hiện tại. HĐH mạng nâng cao VII. An toàn & bảo mật 59 Phát hiện đột nhập dựa trên bất thường • Các phương pháp xử lý, phân tích dữ liệu và mô hình hoá trong phát hiện đột nhập dựa trên bất thường: – Thống kê (statistics) – Học máy (machine learning): HMM, state - based. – Khai khoáng dữ liệu (data mining) – Mạng nơ ron (neural networks) HĐH mạng nâng cao VII. An toàn & bảo mật 60 HMM- based Anomaly detection