Đề tài Ứng dụng IDS trong bảo vệ an ninh mạng máy tính
Có thể đưa ra khái niệm chung về xâm nhập và kiểm tra xâm nhập như sau: “Xâm nhập” là cách dùng trái phép hoặc lạm dụng một hệ thống máy tính. Kiểm tra xâm nhập là một kỹ thuật bảo mật cố gắng xác định và cô lập những “xâm nhập” chống lại các hệ thống máy tính. Kỹ thuật firewall (tường lửa) không thể bảo vệ dữ liệu riêng một cách có hiệu quả. Firewalls thực hiện một việc lớn đó là lọc hay che dấu các cổng trên một host. Tuy nhiên, hầu hết các công ty phải mở các cổng trên firewalls của họ để cung cấp web, email, FTP, dịch vụ tên miền (DNS) và các dịch vụ khác. Ngay khi một nhà quản trị mở các cổng trên firewall của họ thì các cổng đó không được bảo vệ nữa., kẻ tấn công sẽ có thể xâm nhập vào hệ thống của bạn.
Các hệ thống kiểm tra xâm nhập (IDSs) thông minh hơn và được xây dựng để lấp đầy những lỗ hổng còn lại chưa giải quyết được bởi firewalls. Một hệ thống kiểm tra xâm nhập là một thiết bị giám sát tất cả sự vận chuyển trên mạng. Hệ phân tích lưu lượng trong thời gian thực để xác định nếu một ai đó đang gửi lưu lượng tấn công hoặc cố tình làm hại trên mạng. Việc phân tích thường kết hợp chặt chẽ với việc khớp các mẫu và các kỹ thuật khác mà có thể phân tích đầy đủ và nhanh mọi gói tin trên mạng .
3 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2084 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Đề tài Ứng dụng IDS trong bảo vệ an ninh mạng máy tính, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
øng dông IDS trong b¶o vÖ an ninh m¹ng m¸y tÝnh
KS.Hå Träng §¹t
Trung t©m C«ng nghÖ th«ng tin
Tãm t¾t:
Cã thÓ ®a ra kh¸i niÖm chung vÒ x©m nhËp vµ kiÓm tra x©m nhËp nh sau: “X©m nhËp” lµ c¸ch dïng tr¸i phÐp hoÆc l¹m dông mét hÖ thèng m¸y tÝnh. KiÓm tra x©m nhËp lµ mét kü thuËt b¶o mËt cè g¾ng x¸c ®Þnh vµ c« lËp nh÷ng “x©m nhËp” chèng l¹i c¸c hÖ thèng m¸y tÝnh. Kü thuËt firewall (têng löa) kh«ng thÓ b¶o vÖ d÷ liÖu riªng mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét viÖc lín ®ã lµ läc hay che dÊu c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c c«ng ty ph¶i më c¸c cæng trªn firewalls cña hä ®Ó cung cÊp web, email, FTP, dÞch vô tªn miÒn (DNS) vµ c¸c dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c cæng trªn firewall cña hä th× c¸c cæng ®ã kh«ng ®îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ cã thÓ x©m nhËp vµo hÖ thèng cña b¹n.
C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®îc x©y dùng ®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i cha gi¶i quyÕt ®îc bëi firewalls. Mét hÖ thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn trªn m¹ng. HÖ ph©n tÝch lu lîng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai ®ã ®ang göi lu lîng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch thêng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn m¹ng .
Ngµy nay, hÖ thèng m¹ng m¸y tÝnh ®· trë nªn phæ biÕn trong hÇu hÕt c¸c ho¹t ®éng cña x· héi, t¸c ®éng trùc tiÕp ®Õn nÒn kü thuËt vµ kinh tÕ cña ®Êt níc. Cïng víi sù ph¸t triÓn ®ã, ngµy cµng xuÊt hiÖn nhiÒu h¬n nh÷ng c¸ nh©n, nhãm hoÆc thËm chÝ lµ c¶ nh÷ng tæ chøc ho¹t ®éng víi nh÷ng môc ®Ých xÊu nh»m ph¸ ho¹i c¸c hÖ thèng m¹ng m¸y tÝnh, hÖ thèng th«ng tin, g©y t¸c h¹i v« cïng to lín ®Õn tÝnh an toµn vµ b¶o mËt th«ng tin trªn c¸c hÖ thèng nµy. Do tÝnh ¸c liÖt cña nh÷ng cuéc tÊn c«ng g©y h¹i ®ã, cã rÊt nhiÒu hÖ thèng b¶o vÖ an toµn m¹ng ®· ra ®êi, víi nhiÒu møc kh¸c nhau: b¶o vÖ quyÒn truy nhËp, b¶o vÖ b»ng mËt khÈu, b¶o vÖ b»ng m· hãa th«ng tin, sö dông proxy vµ firewall läc gãi tin, b¶o vÖ truy cËp vËt lý.
HÖ thèng kiÓm tra x©m nhËp (Intrusion Detection System – IDS) lµ mét hÖ thèng ®îc x©y dùng còng víi môc ®Ých b¶o vÖ an toµn th«ng tin. HÖ thèng nµy kiÓm so¸t tµi nguyªn vµ ho¹t ®éng cña hÖ thèng m¹ng, sö dông th«ng tin thu thËp ®îc tõ nh÷ng nguån nµy, th«ng b¸o cho ngêi cã tr¸ch nhiÖm khi nã x¸c ®Þnh ®îc kh¶ n¨ng cã sù x©m nhËp. NÕu firewall ®ãng vai trß nh nh©n viªn b¶o vÖ c¬ quan, kiÓm tra mäi ngêi ®Õn vµ ®i th× hÖ thèng kiÓm tra x©m nhËp gièng nh cã mét m¹ng líi c¶m biÕn ®Ó th«ng b¸o cho b¹n biÕt khi cã ai ®ã x©m nhËp, hä ®ang ë ®©u vµ lµm g×. Firewall “¸n ng÷” ë ngâ vµo cña m¹ng vµ chØ lµm viÖc víi nh÷ng gãi tin khi chóng ®i vµo vµ ®i ra khái m¹ng. Mét khi kÎ x©m nhËp ®· vît qua ®îc firewall, ngêi ®ã cã thÓ tung hoµnh tïy ý trªn m¹ng. §ã lµ lý do t¹i sao hÖ thèng kiÓm tra x©m nhËp cã vai trß quan träng.
1. Kh¸i niÖm vÒ kiÓm tra th©m nhËp
NhËn thÊy, kü thuËt firewall (têng löa) kh«ng thÓ b¶o vÖ d÷ liÖu riªng mét c¸ch cã hiÖu qu¶. Firewalls thùc hiÖn mét viÖc lín ®ã lµ läc hay che dÊu c¸c cæng trªn mét host. Tuy nhiªn, hÇu hÕt c¸c c«ng ty ph¶i më c¸c cæng trªn firewalls cña hä ®Ó cung cÊp web, email, FTP, dÞch vô tªn miÒn (DNS) vµ c¸c dÞch vô kh¸c. Ngay khi mét nhµ qu¶n trÞ më c¸c cæng trªn firewall cña hä th× c¸c cæng ®ã kh«ng ®îc b¶o vÖ n÷a., kÎ tÊn c«ng sÏ cã thÓ x©m nhËp vµo hÖ thèng cña b¹n.
C¸c hÖ thèng kiÓm tra x©m nhËp (IDSs) th«ng minh h¬n vµ ®îc x©y dùng ®Ó lÊp ®Çy nh÷ng lç hæng cßn l¹i cha gi¶i quyÕt ®îc bëi firewalls. Mét hÖ thèng kiÓm tra x©m nhËp lµ mét thiÕt bÞ gi¸m s¸t tÊt c¶ sù vËn chuyÓn trªn m¹ng. Nã ph©n tÝch lu lîng trong thêi gian thùc ®Ó x¸c ®Þnh nÕu mét ai ®ã ®ang göi lu lîng tÊn c«ng hoÆc cè t×nh lµm h¹i trªn m¹ng. ViÖc ph©n tÝch thêng kÕt hîp chÆt chÏ víi viÖc khíp c¸c mÉu vµ c¸c kü thuËt kh¸c mµ cã thÓ ph©n tÝch ®Çy ®ñ vµ nhanh mäi gãi tin trªn c¸c m¹ng bËn.
KiÓm tra x©m nhËp lµ mét thµnh phÇn quan träng cña hÖ thèng b¶o mËt, vµ nã bæ xung c¸c kü thuËt b¶o mËt kh¸c. B»ng viÖc cung cÊp th«ng tin tíi qu¶n trÞ site, IDS cho phÐp kh«ng nh÷ng kiÓm tra tÊn c«ng cã ®Þa chØ râ rµng bëi c¸c thµnh phÇn b¶o mËt kh¸c (nh firewall vµ c¸c tr×nh bao bäc dÞch vô), mµ cßn cè g¾ng cung cÊp th«ng b¸o vÒ tÊn c«ng míi bÊt ngê. C¸c hÖ thèng kiÓm tra x©m nhËp còng cung cÊp th«ng tin ph¸p lý cho phÐp c¸c tæ chøc cã kh¶ n¨ng ph¸t hiÖn ra nguån gèc cña tÊn c«ng. Theo c¸ch nµy, IDS cè g¾ng lµm cho nh÷ng kÎ tÊn c«ng cã tr¸ch nhiÖm h¬n vÒ nh÷ng hµnh ®éng cña chóng, vµ ®a ra mét sè ®¸nh gi¸, hµnh ®éng ®Ó ng¨n c¶n nh÷ng tÊn c«ng trong t¬ng lai.
2. M« h×nh kh¸i niÖm cña c¸c hÖ thèng IDS
Cã nhiÒu IDS kh¸c nhau ®îc ph¸t triÓn trªn toµn thÕ giíi, vµ hÇu hÕt lµ do cã nhiÒu thiÕt kÕ kh¸c nhau. Khung kiÓm tra x©m nhËp chung (Common Intrusion Detection Framework) (CIDF) x¸c ®Þnh tËp c¸c thµnh phÇn cïng nhau x¸c ®Þnh mét hÖ thèng kiÓm tra x©m nhËp. C¸c thµnh phÇn nµy gåm c¸c bé t¹o sù kiÖn (event generator) ("E-boxes"), dông cô ph©n tÝch (analysic engine) ("A-boxes"), c¬ cÊu lu tr÷ (storage mechanism) ("D-boxes"), vµ countermeasure ("C-boxes"). Mét thµnh phÇn CIDF cã thÓ lµ mét gãi phÇn mÒm bªn trong cña chÝnh nã, hoÆc mét phÇn cña hÖ thèng lín. H×nh 7 biÓu diÔn quan hÖ gi÷a c¸c thµnh phÇn.
Môc ®Ých cña E-box lµ cung cÊp th«ng tin vÒ nh÷ng sù kiÖn cho c¸c phÇn cßn l¹i cña hÖ thèng. Mét "sù kiÖn" cã thÓ phøc t¹p, hoÆc nã cã thÓ lµ mét sù cè giao thøc m¹ng møc thÊp. Sù kiÖn kh«ng ®ßi hái ph¶i lµ dÊu hiÖu cña sù x©m nhËp bªn trong nã. E-box lµ bé gi¸c quan cña toµn bé IDS --- kh«ng cã ®Çu vµo E-box, hÖ thèng kiÓm tra x©m nhËp sÏ kh«ng cã th«ng tin ®Ó t¹o ra kÕt luËn vÒ c¸c sù kiÖn b¶o mËt.
A-box ph©n tÝch ®Çu vµo tõ bé t¹o sù kiÖn. PhÇn lín trong viÖc nghiªn cøu kiÓm tra x©m nhËp lµ xem xÐt viÖc t¹o ra nh÷ng ph¬ng ph¸p míi ®Ó ph©n tÝch luång sù kiÖn nh»m t¸ch th«ng tin thÝch hîp, vµ ®· nghiªn cøu ®îc mét sè c¸ch tiÕp cËn kh¸c nhau. C¸c kü thuËt ph©n tÝch sù kiÖn dùa trªn viÖc kiÓm tra dÞ thêng thèng kª, ph©n tÝch biÓu ®å, ...
E-box vµ A-box cã thÓ ®a ra lîng lín d÷ liÖu. Nh÷ng th«ng tin nµy ph¶i ®îc t¹o ra s½n sµng cho hÖ ®iÒu hµnh cña hÖ thèng khi nã cÇn sö dông. Thµnh phÇn D-box cña IDS x¸c ®Þnh c¸c ph¬ng tiÖn ®îc dïng ®Ó lu tr÷ th«ng tin b¶o mËt vµ t¹o th«ng tin s½n sµng t¹i thêi ®iÓm sau.
H×nh 1: Quan hÖ gi÷a c¸c thµnh phÇn CIDF
NhiÒu hÖ thèng ID ®îc thiÕt kÕ chØ nh lµ chu«ng b¸o ®éng. Tuy nhiªn, hÇu hÕt c¸c hÖ thèng ID cã gi¸ trÞ th¬ng m¹i ®Òu ®îc trang bÞ víi mét vµi d¹ng coutermeasure (C-box), ®i suèt tõ viÖc ®ãng c¸c kÕt nèi TCP ®Õn viÖc söa ®æi c¸c danh s¸ch bé läc ®Þnh tuyÕn. §iÒu nµy cho phÐp IDS cè g¾ng ng¨n c¶n c¸c cuéc tÊn c«ng kh¸c tõ sau khi dß thÊy sù xuÊt hiÖn cña c¸c cuéc tÊn c«ng ®Çu tiªn.ThËm chÝ c¸c hÖ thèng kh«ng cung cÊp kh¶ n¨ng C-box cã thÓ bÞ mãc nèi vµo trong nh÷ng ch¬ng tr×nh thùc hiÖn t¸c dông t¬ng tù.
3.Kh¶ n¨ng ¸p dông thùc tÕ
Cïng víi sù ph¸t triÓn cña ADSL, sè lîng tæ chøc, doanh nghiÖp kÕt nèi víi Internet t¹i ViÖt Nam ®îc dù b¸o sÏ bïng næ rÊt m¹nh. Lîi Ých thu ®îc tõ Internet lµ ®iÒu kh«ng cÇn ph¶i bµn c·i. Nhng nh÷ng thiÖt h¹i khi bÞ x©m ph¹m d÷ liÖu th× cha cã ai ®¸nh gi¸ cô thÓ vµ dù b¸o chÝnh x¸c lµ bao nhiªu. Trong hoµn c¶nh hiÖn nay, víi tÇn xuÊt tÊn c«ng vµ x©m nhËp m¹ng ngµy cµng phæ biÕn th× khi mét tæ chøc kÕt nèi víi Internet kh«ng thÓ kh«ng ¸p dông c¸c ph¬ng ph¸p phßng chèng tÊn c«ng, x©m nhËp. Sö dông Firewall chØ lµ mét trong nh÷ng biÖn ph¸p c¨n b¶n, s¬ khai trong c«ng t¸c phßng chèng x©m ph¹m th«ng tin. Sö dông IDS sÏ gãp phÇn t¨ng cêng søc m¹ng cho nhµ qu¶n trÞ vµ c¶nh b¸o kÞp thêi mäi diÔn biÕn bÊt thêng qua m¹ng.
Các file đính kèm theo tài liệu này:
- Ứng dụng IDS trong bảo vệ an ninh mạng máy tính.doc