« Home « Kết quả tìm kiếm

Nghiên cứu và ứng dụng hệ thống phát hiện và chống xâm nhập phối hợp - CIDS

Tóm tắt Xem thử

- Giới thiệu mô hình hệ thống phát hiện xâm nhập phối hợp.
- Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công trong hệ thống CIDS.
- Cơ chế phát hiện tấn công mạng trong CIDS.
- Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công.
- 59 Chương 3 - HỆ THỐNG QUẢN LÝ BẢO MẬT MÃ NGUỒN MỞ OSSIM.
- Giới thiệu về hệ thống quản lý OSSIM.
- Các chức năng của hệ thống OSSIM.
- Ứng dụng OSSIM như một hệ thống phát hiện xâm nhập phối hợp.
- 42 Bảng 2-2: Bảng tóm tắt các nghiên cứu đạt được của hệ thống CIDS.
- 18 Hình 1-3: Tấn công kiểu DRDoS.
- 30 Hình 2-1: Mô hình hệ thống phát hiện xâm nhập phối hợp CIDS.
- 38 Hình 2-4: Mô hình hệ thống CIDS bảo vệ.
- 39 Hình 2-5: Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS.
- 39 Hình 2-6: Kiến trúc hệ thống CIDS.
- 55 Hình 3-1: Kiến trúc hệ thống quản lý thông tin OSSIM.
- 81 Hình 3-8: Các thành phần và sơ đồ hoạt động trong hệ thống triển khai OSSIM.
- 86 Hình 3-11: Các Plugin đóng vai trò là Monitor trong hệ thống OSSIM.
- 88 Hình 3-12: Các Plugin đóng vai trò là Detector trong hệ thống OSSIM.
- Một số lỗ hổng về an ninh mạng Lỗ hổng hệ thống là nơi mà đối tượng tấn công có thể khai thác để thực hiện các hành vi tấn công hệ thống.
- Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng hoặc trong thủ tục quản trị mạng[1.
- Những lỗ hổng để kẻ tấn công có thể lợi dụng, gây tổn thương cho hệ thống có rất nhiều.
- Chèn thông tin giả mạo (Fabrication) 13 Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống mà không có hành động nào của người gửi.
- Bốn cách tấn công trên là xâm phạm đến các thuộc tính bảo mật khác nhau của một hệ thống máy tính.
- Tấn công thăm dò Tấn công thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống[2.
- Việc xác định trạng thái hệ thống có thể sử dụng kỹ thuật Ping Scan hay còn gọi với tên Ping Sweep.
- Xác định máy đang mở cổng nào, hệ thống đang sử dụng dịch vụ nào.
- Tấn công truy nhập hệ thống: Là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở đó hacker không có tài khoản sử dụng.
- Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động.
- o Phát động tấn công.
- Tuy nhiên với cách tấn công này, kẻ tấn công cũng không thu được thông tin gì thêm về hệ thống.
- có nghĩa là nếu hệ thống có hỏng thì sẽ hỏng theo cách chống lại sự tấn công của đối phương.
- Vì truy cập là một điều kiện tiên quyết cho một cuộc tấn công nên bất kỳ sự can thiệp nào xấu vào hệ thống cũng bị ngăn chặn.
- Firewall là một hệ thống kiểm soát truy cập quan trọng ở tầng mạng.
- Phát hiện xâm nhập (Intrustion Detection) Xâm nhập được định nghĩa như là chuỗi các hành động có liên quan được thực hiện bởi kẻ xấu mà kết quả là dẫn đến tổn thương đối với hệ thống bị tấn công.
- o Người dùng trong các hệ thống có thể lạm dụng quyền và thực hiện các hành vi phá hoại.
- Các hệ thống phát hiện xâm nhập là các ứng dụng chuyên dụng cho việc phát hiện các xâm nhập mạng máy tính.
- Một hệ thống phát hiện xâm nhập cần thỏa mãn các yêu cầu sau.
- Tính chính xác: Một hệ thống phát hiện xâm nhập không được đánh giá một hành động hợp pháp trong môi trường hệ thống là một bất thường hoặc lạm dụng.
- Chịu lỗi: Bản thân hệ thống phát hiện xâm nhập phải chịu được các cuộc tấn công.
- Mềm dẻo: Một hệ thống phát hiện xâm nhập phải có thể xử lý trong trường hợp tệ nhất một số lượng lớn sự kiện mà không làm mất thông tin.
- Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự kiện xẩy ra trong hệ thống mạng.
- Khi kẻ tấn công cần xem độ phức tạp của các mục tiêu bằng cách thực hiện Scan các thành phần trong hệ thống mạng có chứa các lỗ hổng dễ bị tổn thương (vd: Những chương trình Scan lén lút).
- Người ta 34 gọi mô hình đảm bảo an toàn thông tin như vậy với tên gọi: Hệ thống phát hiện và chống xâm nhập phối hợp CIDS (Collaborative Intrussion Detetion System).
- Những kẻ tấn công sẽ gửi các gói tin thăm dò để tìm kiếm những điểm yếu có thể tấn công vào hệ thống thông qua môi trường mạng.
- Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công trong hệ thống CIDS 2.2.1.
- ``FIREWALL`ActackActackActackActackActack Hình 2-3: Firewall không bảo vệ được các tấn công không đi qua nó Với thiết bị IDPS là sự kết hợp của hệ thống phát hiện xâm nhập và firewall nên có thể ngăn chặn và phát hiện tấn công thông minh, linh hoạt hơn firewall.
- Hệ thống phát hiện xâm nhập phối hợp CIDS được triển khai với hai thành phần chính là: Correlation Unit (khối xử lý thông tin) Detection Unit (khối phát hiện).
- đảm bảo trạng thái kết nối giữa hai thành phần trong hệ thống.
- Ví dụ: Đối với một số plugin trong hệ thống phát hiện xâm nhập phối hợp OSSIM, các port được định nghĩa như sau: 3000 (Ntop), 3306(MySQL), 40001 (ossim server- ossim agent), v.v..
- Ví dụ khi kẻ tấn công xâm nhập vào hệ thống nhưng không có User name và password, chúng sẽ tìm cách ăn cắp tài khoản người dùng trong mạng nội bộ.
- Tuy nhiên, CIDS giới thiệu những thách thức mới như sau: Hệ thống kiến trúc (System architecture): CIDS bản chất là một hệ thống phát hiện xâm nhập phối hợp.
- Do đó, kiến trúc để xử lý các thông báo được gửi lên từ hệ thống phát hiện xâm nhập đơn lẻ được chia sẻ và xử lý thế nào cho hợp lý và hiệu quả.
- Vậy làm thế nào các Sensor có sự tương quan với hệ thống CIDS trong việc xác định chính xác sự tấn công.
- 46 Bảo mật dữ liệu (Data privacy): Bảo mật dữ liệu là một vấn đề quan trọng trong thực tế nếu thông tin đang được chia sẻ giữa các thành viên trong hệ thống.
- Chúng ta chia các hệ thống phát hiện xâm nhập theo hai cách thức đối với CIDSs liệt kê ở trên, tức là kiến trúc hệ thống, và mối tương quan cảnh báo.
- Tổng hợp, đánh giá các thông tin mức thấp từ các Detection Unit gửi về để có các kết luận mức cao hơn cho toàn bộ hệ thống.
- Chúng ta sẽ tìm hiểu thêm về ba mô hình hệ thống phát hiện xâm nhập phối hợp theo phương pháp tiếp cận tập trung nổi bật được giới thiệu hiện nay: DIDS, DShield, NSTAT.
- DIDS Mô hình hệ thống DIDS được xây dựng dựa trên sự kết hợp nhiều IDS chạy trên các hệ thống cá nhân để phát hiện sự xâm nhập với quy mô rộng lớn[4.
- Các thiết bị cảnh báo xâm nhập mức mạng NIDS được bố trí các vị trí khác nhau trong hệ thống mạng và báo cáo đến một trạm quản lý trung tâm.
- Cảnh báo được chuyển tiếp đến một hệ thống thông tin nằm trên trạm quản lý và sử dụng để thông báo cho quản trị viên IDS.
- Mỗi nhóm truyền thông là một tập hợp con của cả hệ thống lớn.
- Hệ thống được chia thành ba nhóm thông tin liên lạc như mô tả trên.
- Mô hình EMERALD cho phép truyền thông không đồng bộ các thông tin cần thiết đối với hệ thống.
- Thiết bị đóng vai trò là một phần của cả hệ thống xử lý thông tin, đánh giá mức độ nguy hiểm trên toàn mạng.
- Dash et al.[21] đề xuất một hệ thống kết hợp dựa trên các host-based IDS có sử dụng phân bố xác suất dự đoán để phát hiện sự xâm nhập mạng.
- Chia sẽ thông tin hệ thống (ISS) sử dụng giao thức truyền thông giữa các LD và GD với nhau.
- Agent quản lý: nhiệm vụ chính của agent này là quản lý, giám sát các thành viên trong hệ thống.
- Tính tương đối của các cảnh báo Hiện nay những kỹ thuật đánh giá về độ chính xác, tính hiệu quả của các cảnh báo được sử dụng bởi hệ thống phát hiện xâm nhập phối hợp CIDS có thể được phân thành bốn nhóm: Các dấu hiệu tương tự: Similarity based.
- Phương pháp tiếp cận dựa trên sự so sánh tương đối các dấu hiệu nhận được với các mẫu có sẵn trong hệ thống để đưa ra cảnh báo.
- Phương pháp lọc (Filter based) dựa trên mức độ ưu tiên tới hạn cảnh báo với các hệ thống bảo vệ.
- Seurat[27] là một máy chủ phân phối dựa trên hệ thống phát hiện bất thường.
- Hệ thống tình toàn, phân tích lấy dữ liệu để xác định kiểu tấn công mà báo cáo lưu vào.
- Mỗi lần một cảnh báo mới nhận được từ một IDS, hệ thống sẽ so sánh với các kịch bản tấn công được lưu trữ trước đó trong database.
- Hai phương pháp tiếp cận xác suất có thể hỗ trợ nhau: Thứ nhất có thể tìm tòi, khám phá các thông tin chưa rõ ràng, mơ hồ với các quyết định đưa ra cảnh báo là có sự tấn công vào hệ thống hay không.
- Mã xác nhận: một số điều kiện về hệ thống mục tiêu có thể chứng minh được một cuộc tấn công đã thành công, chẳng hạn như sự tồn tại của lỗ hổng trong hệ thống.
- Cách tiếp cận này dựa trên giả định rằng kẻ tấn công thực hiện qua nhiều bước để hoàn thành quá trình xâm nhập hoàn toàn vào hệ thống đích.
- Tất cả các thông báo trong hệ thống được mô hình hóa bằng cách sử dụng các biểu đồ, màu sắc để đánh giá từng mức độ trong các cảnh báo của các cuộc tấn công được quy định trước trong hệ thống.
- Những phương pháp tiếp cận ưu tiên dự báo theo tác động của chúng đến các hệ thống bảo vệ bằng cách sử dụng một thuật toán lọc cụ thể.
- Một số phương pháp đã được đề xuất sử dụng phân tích tính dễ tổn thương để giảm số lượng các cảnh báo nguy hiểm từ các IDS thành viên trong một hệ thống quản lý tập trung CIDS.
- Mỗi máy chủ lưu trữ trong hệ thống phần mền ngăn chặn và phát hiện worm, phát thông tin cảnh báo tự xác nhận (đó là các bằng chứng xác minh các lỗ hổng dễ bị khai thác trên hệ thống) cho các Host khác thuộc cùng một vùng P2P.
- Bảng 2-2 tóm tắt các nội dung chính của hệ thống kiến trúc và thuật toán tương quan cảnh báo của hệ thống phát hiện xâm nhập phối hợp được giới thiệu ở trên, về những ưu điểm và nhược điểm của mỗi phương pháp tiếp cận.
- Dễ thực hiện Không thể phát hiện các cuộc tấn công phức tạp, thay đổi liên 69 Seurat Julisch [30] tục kịch bản tấn công Dựa vào các kịch bản tấn công có sẵn Dain and Cunningham[31] LAMBDA STATL Phát hiện được chính xác các cuộc tấn công, đánh giá được mức độ nguy hiểm của hệ thống.
- Phải tự xây dựng các kịch bản tấn công sẵn trước cho hệ thống.
- Worminator Khả năng đảm bảo tính riêng tư, bí mật của các thành viên tham gia trong hệ thống.
- Khả năng phát hiện xâm nhập bị hạn khi các thành viên hệ thống bị vô hiệu hóa.
- Trung tâm nhận và xử lý dữ liệu chung cho toàn bộ hệ thống được đặt trên OSSIM server.
- Trong thực tế, nếu điều kiện mà mô hình mạng lớn, phát triển liên tục thì hai mô hình còn lại của hệ thống phát hiện xâm nhập phối hợp sẽ là sự lựa chọn thông minh hơn cho hệ thống an toàn thông tin.
- Mục tiêu chính là cải thiện độ tin cậy, độ nhạy cảm và khả năng phát hiện của hệ thống bao gồm.
- Theo dõi hoạt động của hệ thống mạng, có đánh giá rủi ro và giám sát mạng thường xuyên.
- OSSIM framword là một trong ba thành phần quan trọng tạo nên hệ thống quản lý thông tin OSSIM: OSSIM server, OSSIM agent, OSSIM framword.
- Nhiệm vụ của OSSIM server là tổng hợp tất cả các thông tin đó, xử lý, đánh giá và đưa ra các quyết định cảnh báo tới toàn mạng, hoặc có thể ra lệnh cho hệ thống Firewall hoạt động để ngăn chặn các cuộc tấn công, xâm nhập nếu nó được cấu hình kết hợp với Firewall.
- Điểm rất thuận lợi khi triển khai hệ thống phát hiện xâm nhập phối hợp dựa vào hệ thống quản lý bảo mật mã nguồn mở OSSIM là có thể nhận các sự kiện từ các thiết bị thương mại: cisco PIX, Symantec, Mcafee,.v.v.
- Các thành phần cần triển khai trong OSSIM Để triển khai một hệ thống phát hiện xâm nhập phối hợp OSSIM theo phương pháp tiếp cận tập trung bao gồm các thánh phần sau[42.
- Thứ hai: Có thể quản trị hệ thống OSSIM từ xa mà không cần trực tiếp ngồi tại máy OSSIM server để cấu hình.
- Generic ossim (1-2999): Những ID dùng cho các kiểu tấn công chưa được phân loại trong hệ thống.
- Tìm hiểu được nguyên lý hoạt động, phân tích và phát hiện xâm nhập của hệ thống phát hiện và chống xâm nhập phối hợp.
- Phân tích các mô hình triển khai hệ thống: Tập trung, phân cấp và phân phối đầy đủ.
- Xây dựng và thử nghiệm thành công hệ thống quản lý thông tin bảo mật mã nguồn mở OSSIM trong môi trường mạng thực tế.
- Tiếp tục xây dựng hệ thống phát hiện xâm nhập phối hợp tích hợp các tính năng bảo mật của các hãng lớn với các sản phẩm thương mại: CISCO, IBM, Checkpoint, Microsoft.
- để trở thành hệ thống phát hiện xâm nhập phối hợp thực sự

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt