Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Tổng quan về ips/ids p1

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Tổng quan về ips/ids p1

    TỔNG QUAN VỀ IPS/IDS

    Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.
    Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền
    Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.
    1.1. Dựa vào chữ ký (Signature-Based)

    Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):
    • Yêu cầu cơ sở dữ liệu được xây dựng dựa vào sự nhận diện những vi phạm hoặc cuộc tấn công được trước đó.
    • Cơ sở dữ liệu này cần được cập nhật thường xuyên, để đảm bảo khả năng nhận diện được những cuộc tấn công mới.
    ​​ 1.2. Dựa vào sự bất thường

    Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:
    • Thống kê (statistical): Lưu lượng dữ liệu sẽ được xây dựng dựa theo ngưỡng, ngưỡng này sẽ được dùng để so sánh với lưu lượng vượt mức trong một khoảng thời gian ngắn (do vấn đề về Worm), nếu vượt quá mức ngưỡng được qui định thì IPS/IDS sẽ cho rằng hệ thống mạng đang ở trạng thái bất thường (hình 1.2).
    ​​
    • Không thống kê (nonstatistical): Sự bất thường sẽ được nhận biết dựa vào những việc không tuân theo chuẩn qui định của giao thức so với RFC. Ví dụ gói http, FTP, SNMP... chứa những phương thức, dòng lệnh không được định nghĩa với RFC, đây là sự bất thường về mặt giao thức (hình 1.3, 1.4).
    ​​
    1.3. Dựa vào chính sách
    Quan sát và gửi cánh báo khi hành vi vi phạm với chính sách (hình 1.5, 1.6).


    ​​​
    Chính sách phụ thuộc vào nguời quản trị đưa ra để có thể nhận biết sự vi phạm.
    Attached Files

  • #2
    Định nghĩa Tác nhân Đe dọa
    Tác nhân đe dọa là các cá nhân (hoặc nhóm cá nhân) thực hiện một cuộc tấn công hoặc chịu trách nhiệm cho một sự cố bảo mật có tác động hoặc có khả năng tác động đến một tổ chức hoặc cá nhân. Có một số loại tác nhân đe dọa:
    • Script kiddies: Những người sử dụng các “kịch bản” hoặc công cụ có sẵn để tấn công vào máy tính và mạng. Họ thiếu chuyên môn để tự viết kịch bản.
    • Nhóm tội phạm có tổ chức: Mục đích chính của họ là đánh cắp thông tin, lừa đảo và kiếm tiền.
    • Các nhà tài trợ nhà nước và chính phủ: Những tác nhân này quan tâm đến việc đánh cắp dữ liệu, bao gồm tài sản trí tuệ và dữ liệu nghiên cứu-phát triển từ các nhà sản xuất lớn, cơ quan chính phủ và các nhà thầu quốc phòng.
    • Hacktivist: Những người thực hiện các cuộc tấn công mạng nhằm thúc đẩy một nguyên nhân xã hội hoặc chính trị.
    • Nhóm khủng bố: Những nhóm này được thúc đẩy bởi niềm tin chính trị hoặc tôn giáo.
    Ban đầu, thuật ngữ hacker được sử dụng cho những người đam mê máy tính. Hacker là người thích tìm hiểu cách hoạt động bên trong của một hệ thống, máy tính và mạng máy tính, và sẽ tiếp tục “hack” cho đến khi hiểu rõ mọi thứ về hệ thống. Theo thời gian, báo chí phổ thông bắt đầu mô tả hacker như những cá nhân xâm nhập vào máy tính với ý định xấu. Ngành công nghiệp đã phản ứng bằng cách phát triển thuật ngữ cracker, viết tắt của hacker tội phạm. Thuật ngữ cracker được tạo ra để mô tả những cá nhân tìm cách xâm phạm bảo mật của một hệ thống mà không có sự cho phép từ phía có thẩm quyền. Với sự nhầm lẫn về cách phân biệt giữa “người tốt” và “người xấu”, thuật ngữ hacker đạo đức (ethical hacker) đã ra đời. Hacker đạo đức là cá nhân thực hiện các bài kiểm tra bảo mật và các hoạt động đánh giá lỗ hổng để giúp các tổ chức bảo vệ cơ sở hạ tầng của họ. Đôi khi, hacker đạo đức được gọi là hacker mũ trắng (white hat hacker).
    Động cơ và ý định của hacker rất đa dạng. Một số hacker hoàn toàn hợp pháp, trong khi những người khác thường xuyên vi phạm pháp luật. Hãy xem xét một số danh mục phổ biến:
    • Hacker mũ trắng: Những cá nhân này thực hiện hack đạo đức để giúp bảo vệ các công ty và tổ chức. Họ tin rằng phải kiểm tra mạng của mình theo cách mà một hacker tội phạm sẽ làm để hiểu rõ hơn về các lỗ hổng.
    • Hacker mũ đen: Những cá nhân này thực hiện các hoạt động bất hợp pháp, chẳng hạn như tội phạm có tổ chức.
    • Hacker mũ xám: Những cá nhân này thường tuân theo luật pháp nhưng đôi khi lại sa vào mặt tối của hack mũ đen. Việc thuê những cá nhân này để thực hiện nhiệm vụ bảo mật cho tổ chức của bạn là không đạo đức vì bạn không bao giờ chắc chắn được họ đứng ở đâu.

    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Working...
    X