Tweet
TỔNG QUAN VỀ IPS/IDS
Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.
Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền
Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.
1.1. Dựa vào chữ ký (Signature-Based)
Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):
Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:
1.3. Dựa vào chính sách
Quan sát và gửi cánh báo khi hành vi vi phạm với chính sách (hình 1.5, 1.6).
Chính sách phụ thuộc vào nguời quản trị đưa ra để có thể nhận biết sự vi phạm.
Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.
Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền
Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.
1.1. Dựa vào chữ ký (Signature-Based)
Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):
- Yêu cầu cơ sở dữ liệu được xây dựng dựa vào sự nhận diện những vi phạm hoặc cuộc tấn công được trước đó.
- Cơ sở dữ liệu này cần được cập nhật thường xuyên, để đảm bảo khả năng nhận diện được những cuộc tấn công mới.
Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:
- Thống kê (statistical): Lưu lượng dữ liệu sẽ được xây dựng dựa theo ngưỡng, ngưỡng này sẽ được dùng để so sánh với lưu lượng vượt mức trong một khoảng thời gian ngắn (do vấn đề về Worm), nếu vượt quá mức ngưỡng được qui định thì IPS/IDS sẽ cho rằng hệ thống mạng đang ở trạng thái bất thường (hình 1.2).
- Không thống kê (nonstatistical): Sự bất thường sẽ được nhận biết dựa vào những việc không tuân theo chuẩn qui định của giao thức so với RFC. Ví dụ gói http, FTP, SNMP... chứa những phương thức, dòng lệnh không được định nghĩa với RFC, đây là sự bất thường về mặt giao thức (hình 1.3, 1.4).
1.3. Dựa vào chính sách
Quan sát và gửi cánh báo khi hành vi vi phạm với chính sách (hình 1.5, 1.6).
Chính sách phụ thuộc vào nguời quản trị đưa ra để có thể nhận biết sự vi phạm.
Attached Files