Download miễn phí Tìm hiểu Hệ thống phát hiện xâm nhập





Những IDS hiện đại nhưSnort cốgắng đểbình thường hóa mọi truyền thông trên mạng trước khi phân tích thông qua những sựsửdụng các various preprocessors. Kỹthuật bình thường hóa đòi hỏi phải tạo được cho việc truyền thông giống nhưthêm nguyên tắc, (more uniform) ví dụnhư, bằng cách gỡbỏambiguities trong packet headers và payloads và bằng cách hiển thịdòng truyền thông đơn giản để đối chiếu với các mẫu xâm nhập. Tuy nhiên, con sốnhững possible mutations chỉlà sốít một sốbit được xác định. Do đó, cuộc đua vũtrang giữa bên tấn công và bên phòng thủvẫn được tiếp tục.



Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

thống bị tổn thương.
Kiếm tra toàn vẹn cung cấp một giá trị lớn nhất nếu chúng có được một vài thông tin hướng dẫn. Trước hết,
nó phải được phát triển trên một hệ thống hoàn toàn sạch sẽ sao cho nó không phải ghi nhận các trạng thái
dở dang hay bị tổn thương như thông thường. Ví dụ, Tripwire nên được cài đặt trên một hệ thống khi nó
còn nguyên bản từ nhà sản xuất với những ứng dụng cần thiết nhất, trước khi nó kết nối tới mạng.
Bởi vậy, ý kiến về việc lưu trữ dữ liệu về trạng thái tốt trên các bản ghi được đặt trên các thiết bị lưu trữ chỉ
đọc như CDROMs là một ý kiến rất hay. Chúng ta sẽ luôn có 1 bản copy đầy đủ để so sánh khi cần giải
quyết vấn đề. Tui nhiên, mặc dù có tất cả những biện pháp phòng ngừa đó thì hacker vẫn có thể vượt qua
được tất cả hệ thống như thế.
19.1.2 Network IDSs
Network IDSs có thể được phân chia thành 2 loại: hệ thống dựa trên các dấu hiệu và hệ thống dựa trên
những sự việc bất thường. Không giống như hệ thống dựa trên dấu hiệu, hệ thống sau là 1 sự pha lẫn giữa
những công nghệ khác nhau và gần như nhau. Thêm vào đó, những NIDSs lai tạo đó đều nhắm tới việc
làm cầu nối cho những thiếu sót bằng cách sử dụng những mánh lới được sử dụng trong mỗi loại NIDSs.
Trong thực tế, tất cả những hệ thống NIDSs thương mại hiện đại đều sử dụng loại NIDS dựa trên những sự
việc bất thường để phát triển NIDS dựa trên dấu hiệu. Ví dụ như ISS RealSecure, Cisco IDS, and Enterasys
Dragon.
19.1.2.1 Signature matchers
Giống như những phần mềm quét virus truyền thống dựa trên chữ ký hex, phần lớn các IDS đều cố gắng
phát hiện ra các cuộc tấn công dựa trên cơ sở dữ liệu về dấu hiệu của tấn công. Khi 1 hacker tìm cách khai
thác lỗ hổng đã biết thì IDS cố gắng để đưa lỗi đó vào cơ sở dữ liệu của mình. Ví dụ như Snort
( một IDS dựa trên dấu hiệu miễn phí được phát triển trên cả Unix và Windows.
Bởi vì nó là một phần mềm mã nguồn mở nên Snort có tiềm năng phát triển cơ sở dữ liệu chữ ký nhanh
hơn bất kỳ một công cụ có sở hữu nào khác. Các dấu hiệu của Snort được sử dụng trong tất cả mọi thứ từ
các firewall thương mại đến các phần mềm middleware như Hogwash. Snort bao gồm 1 bộ giải mã các gói
tin, 1 thiết bị phát hiện, và 1 hệ thống nhỏ logging và cảnh bá. Snort là 1 IDS trạng thái , có nghĩa rằng nó có
thể tập hợp lại và ghi nhận các tấn công dựa trên phân đoạn TCP.
Một vài bạn đọc có thể đã gặp nhiều khái niệm 1 firewall đa trạng thái hay firewall không trạng thái nhiều
hơn là 1 hệ thống phát hiện xâm nhập. Tuy nhiên, cả 2 khái niệm đều như nhau. Firewalls không trạng thái
(và NIDSs) làm việc với các gói tin riêng rẽ trong khi 1 firewall trạng thái lại cân nhắc đến các trạng thái kết
nối. Ví dụ đơn giản nhất như sau: Nếu 1 kẻ tấn công chia nhỏ các gói tin, thì IDS không trạng thái sẽ bỏ lỡ
nó (bởi vì 1 dấu hiệu không bao giờ xuất hiện trong 1 gói tin), tuy nhiên nó lại bị thiết bị IDS trạng thái phát
hiện được bởi vì nó thu thập các phần đáng nghi không chỉ dựa trên 1 gói tin mà trên cả dòng dữ liệu trong
quá trình kết nối.
Tuy nhiên, những NIDs trạng thái cũng không tránh khỏi việc bỏ lỡ những dấu hiệu xâm nhập. Trong
chương này chúng tui sẽ cung cấp 1 vài ví dụ.
Ví dụ cơ bản nhất cho dấu hiệu để phát hiện của IDS liên quan đến 1 cuộc tấn công web đó là dựa trên lỗi
CGI scripts. Một công cụ phát hiện lỗi của hacker thường xuyên bao gồm việc quét lỗi CGI để phát hiện
những web server có lỗi CGI . Ví dụ như, một lỗi rất nổi tiếng phf cho phép 1 kẻ tấn công có thể quay lại bao
nhiêu file thay thế cho các tài liệu html. Cuộc tấn công nỳ chỉ đơn giản sử dụng 1 script CGI cùng kiệt nàn để
truy cập đến các file và các thư mục được cho phép trên web server . Để phát hiện được tấn công dựa trên
lỗi phf , công cụ quét NIDS phải tìm trên tất cả gói tin nhũng phần của chuỗi sau:
GET /cgi-bin/phf?
Network IDSs sẽ tìm kiếm trong tất cả các dấu hiệu đã tồn tại để tìm các chuỗi tìm kiếm trong các gói tin
mạng. Ví dụ, dấu hiệu Snort sau sẽ thích hợp với chuỗi trên:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI phf
access";flow:to_server,established; uricontent:"/phf"; nocase; reference:bugtraq,629;
reference:arachnids,128; reference:cve,CVE-1999-0067; classtype:web-application-
activity; sid:886; rev:8;)
và thông báo sẽ được gửi
Chúng ta sẽ đề cập đầy đủ đến sự phát triển của Snort NIDS sau.
19.1.2.2 Phát hiện những dấu hiệu bất thường:
Phát hiện những dấu hiệu bất thường liên quan đến việc thiết lập 1 nền móng cơ bản của những hoạt động
bình thường của hệ thống hay là các hành vi trên mạng, và sau đó thông báo chúng ta khi những sự trệch
hướng xuất hiện. Lưu lượng trên mạng thay đổi một cách không đáng kể, chẳng hạn như thay đổi trong
thiết kế để hướng IDS theo định dạng host – base nhiều hơn là NIDS, Tuy nhiên, một số mmạng lại có
những cấu trúc thật khác thường đặc biệt là những mạng quân đội hay những mạng giao tiếp tình báo.
Mặt khác, những hành động xảy ra trong một server rất lớn có thể không thể kiểm soát hết được, do đó mà
mạng trở nên rất hỗn loạn. Nên lưu ý rằng, thỉnh thoảng chúng ta muốn tách rời những NIDS dựa trên
những sự kiện bất thường thành những sự kiện chuyển động bất thường (bị trệch hướng từ 1 miêu tả
chuyển động đã biết) và giao thức sự kiện bất thường (trệch hướng từ các chuẩn giao thức mạng) .
Như chúng ta sẽ thấy sau đây trong chương này, phát hiện những sự kiện bất thường cung cấp 1 độ nhạy
cao nhưng lại ít đặc trưng. Sau đây, chúng ta sẽ đề cập đến những công cụ hữu ích nhất.
19.2 Bayesian Analysis
Những IDS nguyên bản rất không thuận tiện vì hacker luôn tìm thấy những lỗ hổng mới mà không thể tìm
thấy trong cơ sở dữ liệu các dấu hiện, hơn nữa, giống như những chương trình quét virus, việc cập nhật
những dấu hiệu mới vào cơ sở dữ liệu là một vấn đề đáng quan tâm. Hơn thế, NIDS lại luôn được kỳ vọng
có thể đương đầu với những giải tần lớn. Bởi thế nên trạng thái tồn tại trong 1 mạng có tốc độ đường truyền
cao trở thành 1 vấn đề đáng quan tâm về bộ nhớ và giá thành tiến trình
Nhiều hơn thế, việc giám sát những mạng lớn "switched networks" là một vấn đề tự động nảy sinh vởi các
switch trên mạng bị rút ngắn các cảm biến IDS. Người ta cố gắng xử lý vấn đề này bằng cách tích hợp IDS
trong switch hay kèm IDS vào các cổng giám sát switch. Tuy nhiên, giải pháp này có rất nhiều vấn đề
không thể giải quyết được, chẳng hạn như tạo ra hàng loạt bộ những kết nối hàng gigabit đòi hỏi phát triển
nhiều IDSs trong 1 cấu hình cân bằng load phức tạp bởi vì 1 IDS tự nó không có khả năng đối đầu với việc
tải trọng.
Một giới hạn khác của IDS đó là nó có những lỗ hổng rất lớn có thể bị tấn công hay lảng tránh được. Ví dụ
như, tấn công từ chối dịch vụ như SYN floods hay tấn công smurf có thể làm tê liệt IDS rất dễ dàng.
Tương tự như thế thì việc...
 

Các chủ đề có liên quan khác

Top