Thực đơn
trang chủMicrosoft

Cách chọn hệ thống phòng chống tấn công. IDS - nó là gì? Hệ thống phát hiện xâm nhập (IDS) hoạt động như thế nào

Hệ thống phát hiện xâm nhập hoặc IDS (Hệ thống phát hiện xâm nhập)xuất hiện cách đây không lâu, ít nhất là khi so sánh với các phần mềm chống vi-rút hoặc tường lửa. Có lẽ vì lý do này mà các cơ quan dịch vụ an toàn thông tin không phải lúc nào cũng thấy cần thiết phải triển khai các giải pháp này mà tập trung vào các hệ thống khác trong lĩnh vực an toàn thông tin. Nhưng IDS có một lợi ích thiết thực và nó khá đáng kể.

Không giống như tường lửa hoạt động dựa trên các chính sách được xác định trước, IDS được sử dụng để giám sát và xác định hoạt động đáng ngờ. Vì vậy, IDS có thể được gọi là một phần bổ sung quan trọng cho cơ sở hạ tầng an ninh mạng. Đó là với sự giúp đỡ củahệ thống phát hiện xâm nhập, quản trị viên sẽ có thể phát hiệntruy cập trái phép (xâm nhập hoặc tấn công mạng) vào hệ thống máy tính hoặc mạng và thực hiện các bước để ngăn chặn cuộc tấn công.

Nói chung là cảm ơn IDS, là một giải pháp phần mềm hoặc phần cứng, quản trị viên không chỉ có thể phát hiện sự xâm nhập hoặc tấn công mạng, đồng thời dự đoán các cuộc tấn công có thể xảy ra trong tương lai và tìm ra các lỗ hổng để ngăn chặn sự xâm nhập của chúng. Cuối cùng, kẻ tấn công trước tiên thực hiện một số hành động, chẳng hạn như quét mạng để phát hiện các lỗ hổng trong hệ thống mục tiêu. Ngoài ra, dịch vụ CNTT sẽ có thể ghi lại các mối đe dọa hiện có và bản địa hóa nguồn tấn công liên quan đến mạng cục bộ: các cuộc tấn công bên ngoài hoặc nội bộ.

Từ phát hiện xâm nhập đến ngăn chặn

Đổi lại, các hệ thống ngăn chặn IPS (Hệ thống ngăn chặn xâm nhập) xuất hiện trên cơ sở IDS, nghĩa là mỗi IPS bao gồm một mô-đun IDS. Về chức năng thì chúng khá giống nhau nhưng cũng có một điểm khác biệt đó là hệ thống đầu tiên đượcmột giải pháp “thụ động” giám sát các gói, cổng mạng, so sánh lưu lượng truy cập với một bộ quy tắc nhất định và cảnh báo khi phát hiện phần mềm độc hại, trong khi IPS chặn nó khi cố gắng xâm nhập mạng. Nếu có nguy cơ bị xâm nhập, kết nối mạng bị ngắt hoặc phiên người dùng bị chặn, ngừng truy cập vào địa chỉ IP, tài khoản, dịch vụ hoặc ứng dụng.

Ngoài ra, để tránh nguy cơ bị tấn công, các thiết bị IPS có khả năng cấu hình lại tường lửa hoặc bộ định tuyến. Một số giải pháp còn sử dụng việc tung ra các bản vá mới khi lỗ hổng của máy chủ tăng lên.Tuy nhiên, phải thừa nhận rằng Công nghệ IDS/IPS không làm cho hệ thống an toàn tuyệt đối.

Đặc điểm kiến ​​trúc

Có bốn công nghệ chính được sử dụng khi triển khai hệ thống IPS. Đầu tiên là việc lắp đặt các thiết bị chuyên dụng xung quanh chu vi của mạng công ty cũng như bên trong nó. Thông thường, IPS được tích hợp vào cơ sở hạ tầng vì tùy chọn này tiết kiệm chi phí hơn nhiều so với giải pháp độc lập. Trước hết, vì giá thành của một thiết bị tích hợp thấp hơn giá của một thiết bị độc lập và chi phí thực hiện cũng thấp hơn. Thứ ba, độ tin cậy cao hơn vì không có mắt xích bổ sung nào trong chuỗi lưu lượng dễ bị lỗi.

Theo quy định, IPS được tích hợp vào bộ định tuyến, sau đó hệ thống sẽ có quyền truy cập vào lưu lượng được phân tích. Đây là công nghệ thứ hai được sử dụng. Tuy nhiên, tùy chọn này có một nhược điểm: IPS được tích hợp vào bộ định tuyến chỉ có thể đẩy lùi các cuộc tấn công ở phạm vi mạng. Vì vậy, để bảo vệ tài nguyên bên trong, cơ chế ngăn chặn tấn công được triển khai trong các thiết bị chuyển mạch mạng cục bộ.

Hệ thống IDS/IPS được cài đặt dọc theo vành đai mạng công ty

Tiền đồn thứ ba của IPS gắn liền với sự phổ biến ngày càng tăng nhanh chóng của công nghệ không dây. Vì vậy, các điểm truy cập không dây hiện đang được tích cực trang bị hệ thống IPS. Các giải pháp như vậy, ngoài việc phát hiện và ngăn chặn các cuộc tấn công khác nhau, còn có khả năng tìm kiếm các điểm truy cập và máy khách trái phép.

Một tuyến phòng thủ khác là máy trạm hoặc máy chủ. Trong trường hợp này, hệ thống IPS trên máy trạm hoặc máy chủ được cài đặt dưới dạng phần mềm ứng dụng trên hệ điều hành và được gọi là Host IPS (HIPS). Các giải pháp tương tự được sản xuất bởi nhiều nhà sản xuất. Ví dụ, bạn có thể đánh dấu các sản phẩm , , và những sản phẩm khác.

Việc sử dụng Host IPS giúp giảm tần suất cài đặt các bản cập nhật quan trọng, giúp bảo vệ dữ liệu nhạy cảm và giúp bạn đáp ứng các yêu cầu và nhiệm vụ theo quy định. Nó kết hợp hệ thống ngăn chặn xâm nhập dựa trên hành vi và chữ ký (IPS), tường lửa trạng thái và chặn ứng dụng để bảo vệ tất cả các điểm cuối—máy tính để bàn, máy tính xách tay và máy chủ—khỏi các mối đe dọa đã biết và chưa biết.

Những sai sót chính trong quá trình thực hiện

Hệ thống IDS/IPS là một công cụ khá phức tạp, đòi hỏi trình độ chuyên môn nhất định trong quá trình triển khai và sự chú ý liên tục trong quá trình vận hành. Nếu điều này không được thực hiện, hệ thống thường sẽ tạo ra tín hiệu sai, xác định không chính xác lưu lượng truy cập là độc hại.

Để hệ thống ngăn chặn xâm nhập hoạt động đáng tin cậy, độ chính xác phải được điều chỉnh. Ngoài ra, thiết bị phải liên tục được điều chỉnh khi cấu hình mạng thay đổi cũng như trước các mối đe dọa mới xuất hiện trên mạng.

Các chuyên gia nêu tên 7 sai lầm chính khi triển khai và vận hành hệ thống Host IDS/IPS.

Đầu tiên, bạn không thể chặn chữ ký có mức độ rủi ro trung bình và cao nếu không phân tích dữ liệu đã thu thập trước. Thay vào đó, chúng tôi khuyên bạn chỉ nên chặn những chữ ký có mức độ nghiêm trọng cao. Điều này sẽ cung cấp khả năng bảo vệ chống lại các lỗ hổng nghiêm trọng nhất với một số lượng nhỏ các sự kiện sai. Đổi lại, chữ ký ở mức độ nguy hiểm trung bình hoạt động theo thuật toán hành vi và thường yêu cầu cấu hình sơ bộ bắt buộc.

Thứ hai, bạn không thể sử dụng các chính sách giống nhau trong tất cả các hệ thống. Thay vào đó, bạn nên chia PC của mình thành các nhóm dựa trên ứng dụng và đặc quyền, bắt đầu bằng việc tạo hồ sơ tiêu chuẩn cho những hệ thống đơn giản nhất.

Hơn nữa, hệ thống Host IPS không chấp nhận nguyên tắc “đặt rồi quên nó đi”. Không giống như phần mềm chống vi-rút, cần phải giám sát và bảo trì hệ thống thường xuyên để đảm bảo tính chính xác và hiệu quả của việc bảo vệ.

Ngoài ra, bạn không thể kích hoạt cùng lúc chế độ IPS, tường lửa và chặn ứng dụng. Bạn nên bắt đầu với IPS, sau đó thêm tường lửa và bật chế độ chặn ứng dụng nếu cần.

Bạn cũng không nên để IPS, tường lửa hoặc cơ chế chặn ứng dụng ở chế độ thích ứng vô thời hạn. Thay vào đó, bạn nên bật chế độ thích ứng trong khoảng thời gian ngắn khi quản trị viên CNTT có cơ hội giám sát các quy tắc được tạo.

Cuối cùng, bạn không thể chặn ngay bất cứ thứ gì mà hệ thống nhận ra là có hành vi xâm nhập. Trước tiên, bạn nên đảm bảo rằng lưu lượng truy cập được quan sát thực sự độc hại. Các công cụ như chụp gói, IPS mạng và các công cụ khác sẽ trợ giúp việc này.

Ấn phẩm về chủ đề

Ngày 29 tháng 4 năm 2014 Nhiều công ty mua thiết bị di động bằng chi phí riêng của mình cho những nhân viên thường xuyên đi công tác. Trong những điều kiện này, dịch vụ CNTT có nhu cầu cấp thiết là kiểm soát các thiết bị có quyền truy cập vào dữ liệu của công ty nhưng nằm ngoài phạm vi mạng công ty.

Ngày 28 tháng 2 năm 2014 Như bạn đã biết, mười năm trước, virus di động đầu tiên trên thế giới, Cabir, đã xuất hiện. Nó được thiết kế để lây nhiễm vào điện thoại Nokia Series 60, cuộc tấn công bao gồm từ “Caribe” xuất hiện trên màn hình của điện thoại bị nhiễm. Các loại virus hiện đại dành cho thiết bị di động nguy hiểm và đa dạng hơn nhiều.

January 28, 2014 Theo nguyên tắc hoạt động, các máy ảo giống với máy vật lý. Do đó, cả nút ảo và nút vật lý đều hấp dẫn tội phạm mạng tấn công mạng công ty để đánh cắp tiền hoặc thông tin bí mật.

Ngày 30 tháng 12 năm 2013 Trên thực tế, các giải pháp bảo vệ điểm cuối đã xuất hiện trên thị trường cách đây không lâu, sau khi bắt đầu triển khai hàng loạt mạng cục bộ trong các công ty. Nguyên mẫu của những sản phẩm này là một phần mềm diệt virus thông thường để bảo vệ máy tính cá nhân.

Phát hiện xâm nhập là các công cụ phần mềm hoặc phần cứng để phát hiện các cuộc tấn công và hoạt động độc hại. Chúng giúp các mạng và hệ thống máy tính chống lại một cách hiệu quả. Để đạt được mục tiêu này, IDS thu thập thông tin từ nhiều nguồn hệ thống hoặc mạng. IDS sau đó sẽ phân tích nó để phát hiện các cuộc tấn công. Bài viết này sẽ cố gắng trả lời câu hỏi: "IDS - nó là gì và dùng để làm gì?"

Hệ thống phát hiện xâm nhập (IDS) để làm gì?

Hệ thống thông tin và mạng liên tục bị tấn công mạng. Tường lửa và phần mềm chống vi-rút rõ ràng là không đủ để đẩy lùi tất cả các cuộc tấn công này, vì chúng chỉ có thể bảo vệ “cửa trước” của hệ thống và mạng máy tính. Nhiều thanh thiếu niên tưởng tượng mình là tin tặc liên tục lùng sục trên Internet để tìm kiếm các vết nứt trong hệ thống bảo mật.

Nhờ World Wide Web, họ có sẵn rất nhiều phần mềm độc hại hoàn toàn miễn phí - tất cả các loại chương trình gây hại, che mắt và các chương trình có hại tương tự. Các công ty cạnh tranh sử dụng dịch vụ của các hacker chuyên nghiệp để vô hiệu hóa lẫn nhau. Vì vậy hệ thống phát hiện xâm nhập (hệ thống phát hiện xâm nhập) là một nhu cầu cấp thiết. Không có gì ngạc nhiên khi chúng ngày càng được sử dụng rộng rãi hơn.

phần tử ID

Các phần tử IDS bao gồm:

  • hệ thống con máy dò, mục đích của nó là tích lũy các sự kiện mạng hoặc hệ thống máy tính;
  • một hệ thống con phân tích phát hiện các cuộc tấn công mạng và hoạt động đáng ngờ;
  • lưu trữ để lưu trữ thông tin về các sự kiện, cũng như kết quả phân tích các cuộc tấn công mạng và hành động trái phép;
  • bảng điều khiển quản lý mà bạn có thể đặt tham số IDS, theo dõi trạng thái của mạng (hoặc hệ thống máy tính) và có quyền truy cập vào thông tin về các cuộc tấn công và hành động bất hợp pháp được phát hiện bởi hệ thống con phân tích.

Nhân tiện, nhiều người có thể hỏi: "IDS được dịch như thế nào?" Bản dịch từ tiếng Anh nghe giống như “một hệ thống bắt những vị khách không mời đang hành động”.

Các nhiệm vụ chính mà hệ thống phát hiện xâm nhập giải quyết

Một hệ thống phát hiện xâm nhập có hai nhiệm vụ chính: phân tích và phản hồi đầy đủ dựa trên kết quả phân tích này. Để thực hiện các tác vụ này, hệ thống IDS thực hiện các hành động sau:

  • theo dõi và phân tích hoạt động của người dùng;
  • kiểm tra cấu hình hệ thống và các điểm yếu của nó;
  • kiểm tra tính toàn vẹn của các tệp hệ thống quan trọng cũng như các tệp dữ liệu;
  • tiến hành phân tích thống kê các trạng thái hệ thống dựa trên việc so sánh với các trạng thái xảy ra trong các cuộc tấn công đã biết;
  • kiểm toán hệ điều hành.

Hệ thống phát hiện xâm nhập có thể cung cấp những gì và không thể cung cấp những gì

Với sự giúp đỡ của nó, bạn có thể đạt được những điều sau:

  • cải thiện các thông số toàn vẹn;
  • theo dõi hoạt động của người dùng từ khi đăng nhập vào hệ thống cho đến khi gây hại hoặc thực hiện bất kỳ hành động trái phép nào;
  • nhận biết và thông báo về những thay đổi hoặc xóa dữ liệu;
  • tự động hóa các nhiệm vụ giám sát Internet để tìm ra các cuộc tấn công mới nhất;
  • xác định lỗi trong cấu hình hệ thống;
  • phát hiện sự bắt đầu của một cuộc tấn công và thông báo về nó.

Hệ thống IDS không thể làm điều này:

  • khắc phục những thiếu sót trong các giao thức mạng;
  • đóng vai trò bù đắp trong trường hợp cơ chế nhận dạng và xác thực yếu trong mạng hoặc hệ thống máy tính mà nó giám sát;
  • Cũng cần lưu ý rằng IDS không phải lúc nào cũng giải quyết được các vấn đề liên quan đến các cuộc tấn công cấp gói.

IPS (hệ thống ngăn chặn xâm nhập) - tiếp nối IDS

IPS là viết tắt của Hệ thống ngăn chặn xâm nhập. Đây là những loại IDS tiên tiến hơn, có nhiều chức năng hơn. Hệ thống IPS IDS có tính phản ứng (không giống như các hệ thống thông thường). Điều này có nghĩa là chúng không chỉ có thể phát hiện, ghi lại và báo cáo một cuộc tấn công mà còn thực hiện các chức năng bảo vệ. Các tính năng này bao gồm đặt lại kết nối và chặn các gói lưu lượng đến. Một đặc điểm khác biệt của IPS là chúng hoạt động trực tuyến và có thể tự động chặn các cuộc tấn công.

Phân loại IDS theo phương pháp giám sát

NIDS (tức là IDS giám sát toàn bộ mạng) phân tích lưu lượng của toàn bộ mạng con và được quản lý tập trung. Với vị trí chính xác của một số NIDS, có thể thực hiện được việc giám sát một mạng khá lớn.

Chúng hoạt động ở chế độ bừa bãi (nghĩa là chúng kiểm tra tất cả các gói đến thay vì thực hiện có chọn lọc), so sánh lưu lượng mạng con với các cuộc tấn công đã biết từ thư viện của chúng. Khi một cuộc tấn công được xác định hoặc hoạt động trái phép được phát hiện, một cảnh báo sẽ được gửi đến quản trị viên. Tuy nhiên, cần phải đề cập rằng trong một mạng lớn có lưu lượng truy cập lớn, NIDS đôi khi không kiểm tra được tất cả các gói thông tin. Vì vậy, có khả năng trong giờ cao điểm họ sẽ không thể nhận ra đòn tấn công.

NIDS (IDS dựa trên mạng) là những hệ thống dễ tích hợp vào các cấu trúc liên kết mạng mới vì chúng không ảnh hưởng nhiều đến chức năng của chúng, mang tính thụ động. Chúng chỉ chụp, ghi lại và cảnh báo, không giống như loại hệ thống IPS phản ứng đã thảo luận ở trên. Tuy nhiên, cũng phải nói về IDS dựa trên mạng rằng đây là những hệ thống không thể phân tích thông tin đã được mã hóa. Đây là một nhược điểm đáng kể vì do việc áp dụng mạng riêng ảo (VPN) ngày càng tăng nên thông tin được mã hóa ngày càng được tội phạm mạng sử dụng để tấn công.

NIDS cũng không thể xác định điều gì đã xảy ra do cuộc tấn công, liệu nó có gây hại hay không. Tất cả những gì họ có thể làm là ghi lại sự khởi đầu của nó. Do đó, quản trị viên buộc phải kiểm tra kỹ từng trường hợp tấn công một cách độc lập để đảm bảo rằng những kẻ tấn công đã đạt được mục tiêu của mình. Một vấn đề quan trọng khác là NIDS gặp khó khăn trong việc phát hiện các cuộc tấn công bằng cách sử dụng các gói tin bị phân mảnh. Chúng đặc biệt nguy hiểm vì có thể cản trở hoạt động bình thường của NIDS. Điều này có ý nghĩa gì đối với toàn bộ mạng hoặc hệ thống máy tính thì không cần phải giải thích.

HIDS (Hệ thống phát hiện xâm nhập máy chủ)

HIDS (IDS giám sát máy chủ) chỉ phục vụ một máy tính cụ thể. Điều này tự nhiên mang lại hiệu quả cao hơn nhiều. HIDS phân tích hai loại thông tin: nhật ký hệ thống và kết quả kiểm tra hệ điều hành. Họ chụp ảnh nhanh các tệp hệ thống và so sánh nó với ảnh chụp nhanh trước đó. Nếu các tập tin quan trọng đối với hệ thống đã bị thay đổi hoặc bị xóa thì cảnh báo sẽ được gửi đến quản trị viên.

Một lợi thế đáng kể của HIDS là khả năng thực hiện công việc của nó trong các tình huống mà lưu lượng mạng có thể được mã hóa. Điều này có thể thực hiện được do các nguồn thông tin dựa trên máy chủ có thể được tạo trước khi dữ liệu được mã hóa hoặc sau khi dữ liệu được giải mã trên máy chủ đích.

Những nhược điểm của hệ thống này bao gồm khả năng chặn nó hoặc thậm chí cấm nó sử dụng một số kiểu tấn công DoS nhất định. Vấn đề ở đây là các cảm biến và một số phân tích HIDS đều nằm trên máy chủ đang bị tấn công, nghĩa là chúng cũng đang bị tấn công. Việc HIDS sử dụng tài nguyên của các máy chủ có công việc mà chúng giám sát cũng khó được gọi là điểm cộng, vì điều này đương nhiên làm giảm hiệu suất của chúng.

Các kiểu con IDS dựa trên phương pháp phát hiện tấn công

Phương pháp bất thường, phương pháp phân tích chữ ký và phương pháp chính sách - đây là các loại phụ của phương pháp phát hiện tấn công mà hệ thống IDS có.

Phương pháp phân tích chữ ký

Trong trường hợp này, các gói dữ liệu được kiểm tra dấu hiệu tấn công. Dấu hiệu tấn công là một sự kiện khớp với một trong các mẫu mô tả một cuộc tấn công đã biết. Phương pháp này khá hiệu quả vì nó làm giảm số lượng báo cáo về các cuộc tấn công giả.

Phương pháp bất thường

Nó giúp phát hiện các hoạt động bất hợp pháp trên mạng và trên máy chủ. Dựa trên lịch sử hoạt động bình thường của máy chủ và mạng, các hồ sơ đặc biệt được tạo với dữ liệu về điều này. Sau đó, các máy dò đặc biệt sẽ hoạt động và phân tích các sự kiện. Sử dụng nhiều thuật toán khác nhau, họ phân tích những sự kiện này, so sánh chúng với “chuẩn mực” trong hồ sơ. Việc không cần tích lũy một số lượng lớn dấu hiệu tấn công là một ưu điểm rõ ràng của phương pháp này. Tuy nhiên, một số lượng đáng kể các tín hiệu sai về các cuộc tấn công trong các sự kiện không điển hình nhưng hoàn toàn hợp pháp trên mạng là nhược điểm chắc chắn của nó.

Phương pháp chính sách

Một phương pháp khác để phát hiện các cuộc tấn công là phương pháp chính sách. Bản chất của nó là tạo ra các quy tắc bảo mật mạng, ví dụ, có thể chỉ ra nguyên tắc tương tác giữa các mạng và các giao thức được sử dụng. Phương pháp này đầy hứa hẹn nhưng khó khăn nằm ở quá trình xây dựng cơ sở chính sách khá phức tạp.

Hệ thống ID sẽ cung cấp sự bảo vệ đáng tin cậy cho mạng và hệ thống máy tính của bạn

Nhóm các công ty ID Systems ngày nay là một trong những công ty dẫn đầu thị trường trong lĩnh vực tạo ra hệ thống bảo mật cho mạng máy tính. Nó sẽ cung cấp cho bạn sự bảo vệ đáng tin cậy khỏi những kẻ xấu trên mạng. Với hệ thống bảo vệ của Hệ thống ID, bạn sẽ không phải lo lắng về dữ liệu quan trọng của mình. Nhờ đó, bạn sẽ có thể tận hưởng cuộc sống nhiều hơn vì trong đầu bạn sẽ bớt lo lắng hơn.

Hệ thống ID - đánh giá của nhân viên

Một đội ngũ tuyệt vời, và điều quan trọng tất nhiên là thái độ đúng đắn của ban lãnh đạo công ty đối với nhân viên của mình. Mọi người (ngay cả những người mới bắt đầu) đều có cơ hội phát triển chuyên nghiệp. Đúng, để làm được điều này, đương nhiên bạn cần phải chứng tỏ bản thân và rồi mọi việc sẽ ổn thỏa.

Có một bầu không khí lành mạnh trong đội. Người mới bắt đầu sẽ luôn được dạy mọi thứ và chỉ cho mọi thứ. Không có cảm giác cạnh tranh không lành mạnh. Những nhân viên đã làm việc tại công ty nhiều năm vui vẻ chia sẻ mọi chi tiết kỹ thuật. Họ trả lời những câu hỏi ngu ngốc nhất của những người lao động thiếu kinh nghiệm một cách tử tế, thậm chí không hề có một chút trịch thượng. Nhìn chung, làm việc tại ID Systems không mang lại điều gì ngoài những cảm xúc dễ chịu.

Thái độ của quản lý là dễ chịu. Điều đáng mừng là họ rõ ràng biết cách làm việc với nhân sự ở đây, bởi vì đội ngũ họ chọn thực sự có tính chuyên nghiệp cao. Ý kiến ​​của nhân viên gần như rõ ràng: họ cảm thấy như ở nhà khi làm việc.

Dmitry Kostrov,
Công ty cổ phần "Ekvant"
[email được bảo vệ]

Không phải chiều cao và sức mạnh, mà là trí thông minh
Hứa hẹn chiến thắng trong chiến tranh.
William Shakespeare

Hệ thống phát hiện tấn công máy tính (IDS - Hệ thống phát hiện xâm nhập) là một trong những thành phần quan trọng nhất của hệ thống bảo mật thông tin mạng của bất kỳ doanh nghiệp hiện đại nào, do số lượng các vấn đề liên quan đến bảo mật máy tính ngày càng tăng trong những năm gần đây (Hình 1) . Mặc dù công nghệ IDS không cung cấp bảo mật thông tin hoàn chỉnh nhưng nó vẫn đóng một vai trò rất quan trọng trong lĩnh vực này. Tóm tắt lịch sử của vấn đề cũng như một số hệ thống thử nghiệm và thương mại đã được thảo luận trong bài viết ("BYTE / Russia", số 10 "2001). Sau đây chúng ta sẽ thảo luận chi tiết hơn về các sản phẩm hiện có trên thị trường và hướng đi để phát triển hơn nữa IDS.

Thị trường hệ thống IDS đã phát triển nhanh chóng kể từ năm 1997. Đó là thời điểm ISS (http://www.iss.com) cung cấp sản phẩm của mình có tên Real Secure. Một năm sau, Cisco Systems (http://www.cisco.com), nhận thấy tính khả thi của việc phát triển IDS, đã mua sản phẩm NetRanger cùng với Wheel Group. Không thể không nhắc đến ở đây việc sáp nhập SAIC và Haystack Labs vào Centrax Corporation (http://www.centrax.com).

Cần lưu ý rằng IDS thông thường chỉ phát hiện các loại tấn công đã biết một cách kịp thời. Chúng hoạt động ở chế độ tương tự như các chương trình chống vi-rút: những chương trình đã biết sẽ bị phát hiện, những chương trình chưa biết thì không. Phát hiện một cuộc tấn công không xác định là một nhiệm vụ khó khăn trong lĩnh vực hệ thống trí tuệ nhân tạo và quản lý bảo mật thích ứng. IDS hiện đại có khả năng giám sát hoạt động của các thiết bị mạng và hệ điều hành, xác định các hành động trái phép và tự động phản hồi chúng gần như theo thời gian thực. Khi phân tích các sự kiện hiện tại, những sự kiện đã xảy ra có thể được tính đến, điều này giúp xác định các cuộc tấn công được phân tách theo thời gian và từ đó dự đoán các sự kiện trong tương lai.

Vào những năm 80, hầu hết những kẻ tấn công đều là chuyên gia hack và tự họ đã tạo ra các chương trình, phương pháp để xâm nhập trái phép vào mạng máy tính; các công cụ tự động hiếm khi được sử dụng. Ngày nay, đã xuất hiện một số lượng lớn những kẻ “nghiệp dư” với trình độ kiến ​​thức còn yếu trong lĩnh vực này sử dụng các phương tiện xâm nhập và khai thác tự động (khai thác là mã độc sử dụng các lỗi đã biết trong phần mềm và được kẻ tấn công sử dụng để phá hoại hệ thống). hoạt động bình thường của phần mềm và phần cứng phức tạp). Nói cách khác, khi các công cụ xâm nhập tự động được cải tiến, trình độ kiến ​​thức và trình độ của hầu hết những kẻ tấn công đều giảm xuống.

Có nhiều kiểu tấn công khác nhau và chúng có thể được xếp hạng theo mức độ nghiêm trọng tăng dần như sau:

  • đoán mật khẩu
  • mã sao chép
  • hack mật khẩu
  • khai thác các lỗ hổng đã biết
  • vô hiệu hóa/bỏ qua hệ thống kiểm toán
  • Trộm cắp dữ liệu
  • cửa sau (các lối vào đặc biệt của chương trình phát sinh do lỗi khi viết hoặc do người lập trình để lại để gỡ lỗi)
  • sử dụng công cụ đánh hơi và quét (hệ thống kiểm soát nội dung)
  • sử dụng các chương trình chẩn đoán mạng để có được dữ liệu cần thiết
  • sử dụng máy quét lỗ hổng tự động
  • giả mạo dữ liệu trong gói IP
  • tấn công từ chối dịch vụ (DoS)
  • các cuộc tấn công vào máy chủ Web (tập lệnh CGI)
  • công nghệ quét bí mật
  • phương tiện tấn công phân tán.

Bây giờ đòn tấn công kéo dài không quá vài giây và có thể gây sát thương rất nhạy cảm. Ví dụ: một cuộc tấn công từ chối dịch vụ có thể vô hiệu hóa một cửa hàng trực tuyến hoặc trao đổi trực tuyến trong một thời gian dài. Những cuộc tấn công này là phổ biến nhất và các biện pháp phòng vệ chống lại chúng đang phát triển nhanh chóng.

Mục tiêu của bất kỳ IDS nào là phát hiện một cuộc tấn công có ít lỗi nhất có thể. Trong trường hợp này, mục tiêu tấn công (nạn nhân) thường muốn có câu trả lời cho các câu hỏi sau.

  • Điều gì đã xảy ra với hệ thống của tôi?
  • Cái gì đã bị tấn công và cuộc tấn công nguy hiểm như thế nào?
  • Kẻ tấn công là ai?
  • Cuộc tấn công bắt đầu khi nào và từ đâu?
  • Làm thế nào và tại sao cuộc xâm lược xảy ra?

Ngược lại, kẻ tấn công thường cố gắng tìm hiểu những điều sau đây. ·

  • Mục tiêu của cuộc tấn công là gì?
  • Có lỗ hổng nào không và chúng là gì?
  • Có thể gây hại gì?
  • Những công cụ khai thác hoặc thâm nhập nào có sẵn?
  • Có nguy cơ bị phát hiện không?

Các loại ID

Niềm hy vọng chiến thắng đưa chiến thắng đến gần hơn,
niềm tin vào chiến thắng đã tước đi niềm tin đó của chúng ta.
Titus Livy

Trước hết, IDS sử dụng nhiều phương pháp khác nhau để phát hiện hoạt động trái phép. Các vấn đề liên quan đến các cuộc tấn công thông qua tường lửa đều được biết đến rộng rãi. Tường lửa cho phép hoặc từ chối quyền truy cập vào một số dịch vụ (cổng) nhất định, nhưng không kiểm tra luồng thông tin đi qua cổng mở. Ngược lại, IDS cố gắng phát hiện một cuộc tấn công vào toàn bộ hệ thống hoặc mạng và cảnh báo cho quản trị viên bảo mật về cuộc tấn công đó, trong khi kẻ tấn công tin rằng mình đã không bị phát hiện.

Ở đây chúng ta có thể rút ra sự tương tự với việc bảo vệ một ngôi nhà khỏi kẻ trộm. Cửa ra vào và cửa sổ bị khóa là một bức tường lửa. Và hệ thống báo trộm tương ứng với IDS.

Có nhiều cách khác nhau để phân loại IDS. Do đó, theo phương pháp phản hồi, IDS thụ động và chủ động được phân biệt. Những hệ thống thụ động chỉ cần ghi lại thực tế của một cuộc tấn công, ghi dữ liệu vào tệp nhật ký và đưa ra cảnh báo. IDS hoạt động cố gắng chống lại cuộc tấn công bằng cách, ví dụ, cấu hình lại tường lửa hoặc tạo danh sách truy cập bộ định tuyến. Tiếp tục ví dụ tương tự, chúng ta có thể nói rằng nếu hệ thống báo động trong nhà bật còi báo động để xua đuổi kẻ trộm thì điều này tương tự như một IDS đang hoạt động và nếu nó gửi tín hiệu đến cảnh sát thì điều này tương ứng với một IDS thụ động. .

Dựa trên phương pháp phát hiện cuộc tấn công, có sự phân biệt giữa hệ thống dựa trên dấu hiệu và hệ thống dựa trên sự bất thường. Loại đầu tiên dựa trên việc so sánh thông tin với cơ sở dữ liệu được xác định trước về dấu hiệu tấn công. Đổi lại, các cuộc tấn công có thể được phân loại theo loại (ví dụ: Ping-of-Death, Smurf). Tuy nhiên, các hệ thống kiểu này không thể bắt được các kiểu tấn công mới, chưa xác định. Loại thứ hai dựa trên việc theo dõi tần suất của các sự kiện hoặc phát hiện các bất thường về mặt thống kê. Một hệ thống như vậy tập trung vào việc xác định các loại tấn công mới. Tuy nhiên, nhược điểm của nó là phải đào tạo liên tục. Trong ví dụ về an ninh gia đình, một điểm tương tự của hệ thống IDS tiên tiến hơn như vậy là những người hàng xóm biết ai đã đến gặp bạn, theo dõi cẩn thận những người lạ và thu thập thông tin về tình huống khẩn cấp trên đường phố. Điều này tương ứng với loại IDS bất thường.

Cách phân loại phổ biến nhất dựa trên phương pháp thu thập thông tin về cuộc tấn công: dựa trên mạng, dựa trên máy chủ, dựa trên ứng dụng. Loại hệ thống đầu tiên hoạt động giống như một trình đánh hơi, “lắng nghe” lưu lượng truy cập trên mạng và xác định các hành động có thể xảy ra của những kẻ tấn công. Việc tìm kiếm một cuộc tấn công tuân theo nguyên tắc “máy chủ đến máy chủ”. Cho đến gần đây, hoạt động của các hệ thống như vậy vẫn gặp khó khăn trong các mạng sử dụng giao thức chuyển mạch, mã hóa và tốc độ cao (hơn 100 Mbit/s). Nhưng gần đây các giải pháp từ NetOptics (http://www.netoptics.com) và Finisar (http://www.finisar.com) đã xuất hiện để hoạt động trong môi trường chuyển mạch, đặc biệt là công nghệ cổng SPAN (Trình phân tích cổng chuyển đổi) và Nhấn vào mạng (Cổng truy cập thử nghiệm). Network Tap (dưới dạng thiết bị độc lập hoặc dưới dạng thiết bị được tích hợp trong bộ chuyển mạch) cho phép bạn giám sát tất cả lưu lượng truy cập trên bộ chuyển mạch. Đồng thời, Cisco và ISS đã đạt được một số thành công trong việc triển khai các hệ thống như vậy trong mạng tốc độ cao.

Các hệ thống loại thứ hai, dựa trên máy chủ, được thiết kế để giám sát, phát hiện và phản hồi hành động của những kẻ xâm nhập trên một máy chủ cụ thể. Hệ thống, nằm trên máy chủ được bảo vệ, sẽ kiểm tra và xác định các hành động chống lại nó. Loại IDS thứ ba, dựa trên ứng dụng, dựa trên việc tìm kiếm các vấn đề trong một ứng dụng cụ thể. Ngoài ra còn có các IDS lai, là sự kết hợp của nhiều loại hệ thống khác nhau.

Hoạt động của IDS hiện đại và các kiểu tấn công khác nhau

Sơ đồ hoạt động chung của IDS được hiển thị trong Hình 2. 2. Gần đây đã xuất hiện nhiều ấn phẩm về hệ thống được gọi là IDS phân tán (dIDS). dIDS bao gồm nhiều IDS được đặt ở các phần khác nhau của một mạng lớn và được kết nối với nhau và với máy chủ quản lý trung tâm. Hệ thống như vậy tăng cường tính bảo mật của mạng con công ty bằng cách tập trung thông tin tấn công từ nhiều IDS khác nhau. dIDS bao gồm các hệ thống con sau: máy chủ phân tích trung tâm, tác nhân mạng và máy chủ thu thập thông tin tấn công.

Cơm. 2. Sơ đồ chung hoạt động của IDS.

Máy chủ phân tích trung tâm thường bao gồm một cơ sở dữ liệu và một máy chủ Web, cho phép lưu trữ thông tin về các cuộc tấn công và xử lý dữ liệu bằng giao diện Web thuận tiện.

Tác nhân mạng là một trong những thành phần quan trọng nhất của dIDS. Đây là một chương trình nhỏ có mục đích báo cáo một cuộc tấn công tới máy chủ phân tích trung tâm.

Máy chủ thu thập thông tin tấn công là một phần của hệ thống dIDS, dựa trên máy chủ phân tích trung tâm một cách logic. Máy chủ xác định các tham số theo đó thông tin nhận được từ các tác nhân mạng được nhóm lại. Việc phân nhóm có thể được thực hiện theo các tham số sau:

  • địa chỉ IP của kẻ tấn công;
  • cổng người nhận;
  • số đại lý;
  • ngày giờ;
  • giao thức;
  • kiểu tấn công, v.v.

Bất chấp nhiều lời chỉ trích và nghi ngờ về hiệu suất của IDS, người dùng đã sử dụng rộng rãi cả các công cụ thương mại và phân phối miễn phí. Các nhà phát triển trang bị cho sản phẩm của họ khả năng phản ứng tích cực trước một cuộc tấn công. Hệ thống không chỉ phát hiện mà còn cố gắng ngăn chặn cuộc tấn công và có thể thực hiện một cuộc tấn công trả đũa kẻ tấn công. Các loại phản hồi tích cực phổ biến nhất là chấm dứt phiên và cấu hình lại tường lửa.

Việc chấm dứt phiên là phổ biến nhất vì nó không sử dụng trình điều khiển thiết bị bên ngoài như tường lửa. Ví dụ: các gói TCP RESET (với số thứ tự/số xác nhận chính xác) được gửi đơn giản đến cả hai đầu của kết nối. Tuy nhiên, đã có những cách được mô tả để kẻ tấn công vượt qua sự bảo vệ đó (ví dụ: sử dụng cờ PUSH trong gói TCP/IP hoặc sử dụng thủ thuật con trỏ hiện tại).

Phương pháp thứ hai, cấu hình lại tường lửa, cho phép kẻ tấn công tìm hiểu về sự hiện diện của tường lửa trong hệ thống. Bằng cách gửi một lượng lớn các gói ping đến máy chủ và thấy rằng sau một thời gian truy cập sẽ ngừng (ping không được thực hiện), kẻ tấn công có thể kết luận rằng IDS đã cấu hình lại tường lửa, thiết lập các quy tắc mới để từ chối ping đến máy chủ. Tuy nhiên, có nhiều cách để vượt qua sự bảo vệ này. Một trong số đó là sử dụng các khai thác trước khi cấu hình lại tường lửa. Co một cach dê dang hơn. Kẻ tấn công khi tấn công mạng có thể đặt địa chỉ IP của các công ty nổi tiếng làm địa chỉ người gửi (ipspoofing). Để giải quyết vấn đề này, cơ chế cấu hình lại tường lửa thường xuyên chặn quyền truy cập vào trang web của các công ty này (ví dụ: ebay.com, cnn.com, cert.gov, aol.com), sau đó có rất nhiều cuộc gọi từ người dùng phẫn nộ đến dịch vụ hỗ trợ các công ty “đóng cửa” bắt đầu và quản trị viên buộc phải vô hiệu hóa cơ chế này. Điều này rất gợi nhớ đến việc tắt báo động ô tô vào ban đêm, những báo động liên tục khiến cư dân của những ngôi nhà xung quanh không thể ngủ được. Sau đó, chiếc xe trở nên dễ tiếp cận hơn nhiều đối với những tên trộm xe.

Cần phải nhớ rằng đã có các công cụ để xác định IDS hoạt động ở chế độ “lắng nghe” lưu lượng truy cập (http://www.securitysoftwaretech.com/antisniff/download.html); Ngoài ra, nhiều IDS dễ bị tấn công DoS (từ chối dịch vụ).

Những người tiên tiến nhất trong lĩnh vực này là những nhà phát triển “tự do” của thế giới posix. Các cuộc tấn công đơn giản nhất khai thác các lỗ hổng liên quan đến việc sử dụng IDS dựa trên chữ ký. Ví dụ: việc sử dụng một phiên bản của sản phẩm Snort miễn phí có thể giảm xuống 0 theo cách sau. Khi cố gắng truy cập vào tệp /etc/passwd, nơi UNIX lưu trữ tên người dùng, tư cách thành viên nhóm và shell, Snort sử dụng chữ ký sau để phát hiện hoạt động này:

Cảnh báo tcp $EXTERNAL_NET bất kỳ -> $HTTP_SERVERS 80 (tin nhắn:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev: 1;)

Tuy nhiên, bạn có thể chỉ cần thay đổi các ký tự trong yêu cầu - GET /etc//\//passwd hoặc /etc/rc.d/.././\passwd và bỏ qua chữ ký này.

Tất nhiên, các nhà phát triển hệ thống IDS đã tính đến những thay đổi này và phát hiện các cuộc tấn công trong một thời gian dài, nhưng vẫn gặp phải các dấu hiệu tấn công được viết kém.

Có các cuộc tấn công dựa trên mã shell đa hình. Mã này được phát triển bởi tác giả của http://ktwo.ca/ và dựa trên việc sử dụng vi-rút. Công nghệ này hiệu quả hơn đối với các hệ thống dựa trên chữ ký so với các hệ thống dựa trên phân tích giao thức hoặc bất thường. Mã đa hình sử dụng nhiều kỹ thuật khác nhau để vượt qua hệ thống so khớp chuỗi (có tại http://cansecwest.com/noplist-v1-1.txt).

Bạn cũng có thể gọi lại các cuộc tấn công bằng cách phân mảnh gói, lỗi dịch vụ IDS, chia tách cuộc tấn công giữa nhiều người dùng, mã hóa cuộc tấn công bằng mã hóa "ebcdic" bằng cách thay đổi loại thiết bị đầu cuối thành "ebcdic", thực hiện một cuộc tấn công qua kênh được mã hóa, ngăn chặn mô-đun theo dõi cổng, thay đổi bảng định tuyến, để tránh lưu lượng truy cập vào hệ thống phát hiện xâm nhập, v.v.

Hệ thống IDS được sử dụng để xác định không chỉ những kẻ vi phạm bên ngoài mà cả những kẻ vi phạm nội bộ. Như thực tế cho thấy, đôi khi chúng có nhiều hơn những cái bên ngoài. Tấn công nội bộ không phải là một loại tấn công phổ biến. Không giống như những kẻ xâm nhập bên ngoài, kẻ xâm nhập nội bộ là người dùng được ủy quyền có quyền truy cập chính thức vào các tài nguyên mạng nội bộ, bao gồm cả những tài nguyên mà thông tin bí mật lưu hành trên đó. Thực tế phổ biến là sử dụng các dịch vụ bảo mật thông tin để bảo vệ phạm vi của mạng nội bộ, trong khi việc bảo vệ chống lại các mối đe dọa nội bộ lại ít được chú ý hơn. Đây là lúc IDS xuất hiện. Cấu hình IDS để bảo vệ chống lại các cuộc tấn công nội bộ không phải là một nhiệm vụ dễ dàng; nó đòi hỏi phải làm việc tỉ mỉ với các quy tắc và hồ sơ người dùng. Để chống lại các cuộc tấn công nội bộ, cần sử dụng kết hợp nhiều IDS khác nhau.

Các công ty và sản phẩm

Có hàng chục hệ thống IDS thương mại trên thị trường, đảm bảo lựa chọn giải pháp phù hợp nhất. Thật không may, vẫn chưa có sản phẩm nội địa nào, mặc dù hai công ty Nga đang chuẩn bị tung ra hệ thống phát hiện tấn công của họ vào cuối năm nay.

Sản phẩm từ hơn hai mươi công ty được mô tả dưới đây. Theo tác giả, thứ tự sắp xếp của chúng trong bài gần tương ứng với mức độ nổi tiếng ở Nga.

hệ thống Cisco

Dòng sản phẩm Cisco IDS chứa các giải pháp ở nhiều cấp độ khác nhau. Nó bao gồm ba hệ thống 42xx phiên bản v.2.2.1 (dựa trên mạng), trong đó 4210 (Hình 3) được tối ưu hóa cho môi trường 10/100Base-T (45 Mbit/s), 4235 được tối ưu hóa cho môi trường 10/100 /Môi trường 1000Base -TX, (200 Mbit/s) và 4250 - cho 10/100/1000Base-TX (500 Mbit/s).

Hệ thống con IDS có sẵn trong bộ chuyển mạch Catalyst - Mô-đun hệ thống phát hiện xâm nhập Catalyst 6000 (dựa trên mạng tích hợp chuyển đổi).

Cisco IDS Host Sensor 2.0 và Máy chủ web cảm biến máy chủ Cisco IDS, do Entercept phát triển, cung cấp khả năng bảo mật dựa trên máy chủ. IDS ở cấp bộ định tuyến (Bộ tính năng tường lửa 12.1(4)T) có khả năng đẩy lùi 59 loại tấn công nguy hiểm nhất (hệ thống dựa trên mạng). Khi sử dụng IDS ở cấp tường lửa PIX 535, 525, 515E, 506E, 501 (v.6.2.2), hơn 55 loại tấn công nguy hiểm nhất sẽ bị phản ánh (hệ thống dựa trên mạng). Hệ thống bảo mật được quản lý bằng Giải pháp quản lý bảo mật/VPN CiscoWorks (VMS) hoặc phần mềm Cisco IDS phiên bản 3.1(2). Cơm. Hình 4 minh họa hoạt động của cảm biến mạng Cisco khi cố gắng tìm ra tên máy chủ.


 Cơm. 4. Hoạt động của cảm biến mạng Cisco khi cố gắng tìm ra tên máy chủ.

Hệ thống an ninh Internet

Công ty ISS đã có lúc có bước nhảy vọt trong lĩnh vực này và chiếm vị trí dẫn đầu trong việc triển khai các hệ thống phát hiện tấn công. Nó cũng cung cấp một loạt các giải pháp cho các cấp độ khác nhau.

RealSecure Network Sensor là giải pháp phần mềm được thiết kế để cài đặt trên máy tính chuyên dụng trong phân khúc mạng quan trọng. Bằng cách phân tích lưu lượng mạng và so sánh nó với cơ sở dữ liệu về dấu hiệu tấn công, cảm biến sẽ phát hiện nhiều hành vi vi phạm chính sách bảo mật khác nhau (Hình 5).

Hệ thống Cảm biến Gigabit RealSecure xử lý hơn 500 nghìn gói mỗi giây, sử dụng thuật toán phân tích bảy cấp đã được cấp bằng sáng chế, phát hiện một số lượng lớn các cuộc tấn công bị các hệ thống khác bỏ sót. Nó chủ yếu được sử dụng trong các mạng hoạt động dưới tải nặng.

Cảm biến máy chủ RealSecure cho phép bạn phát hiện các cuộc tấn công ở mọi cấp độ nhằm vào một nút mạng cụ thể. Ngoài ra, nó có thể tiến hành phân tích bảo mật và phát hiện các lỗ hổng trên nút được kiểm soát.

RealSecure Desktop Protector (trước đây gọi là BlackICE Agent) được thiết kế để phát hiện các cuộc tấn công trong thời gian thực nhằm vào các máy trạm trên mạng công ty.

RealSecure cho Nokia là giải pháp phần mềm và phần cứng được phát triển bởi ISS và Nokia. Nó kết hợp tất cả các chức năng của RealSecure Network Sensor và Nokia IP Network Security Solutions. Hệ thống hoạt động theo hệ điều hành IPSO an toàn, dựa trên FreeBSD.

RealSecure Guard là giải pháp phần mềm kết hợp khả năng của tường lửa và hệ thống phát hiện tấn công theo thời gian thực. Nó được cài đặt giữa các phân đoạn được bảo vệ và mở của mạng (còn gọi là IDS nội tuyến) và phân tích tất cả lưu lượng truy cập đi qua nó để tìm kiếm các gói bị cấm hoặc nguy hiểm. Hệ thống có thể phát hiện các cuộc tấn công cả trên các phân đoạn mạng và trên các nút riêng lẻ, quan trọng nhất.

Để quản lý các hệ thống RealSecure được liệt kê, mô-đun RealSecure SiteProtector được sử dụng, đóng vai trò là thành phần chính của quản lý tập trung cho cả hệ thống Máy quét Internet và Máy quét hệ thống. Nó được thiết kế để sử dụng trong các mạng lớn, phân bố theo địa lý hoặc trong các tổ chức sử dụng đồng thời một số giải pháp ISS.

Mô-đun RealSecure WorkGroup Manager đơn giản hơn được thiết kế để chỉ quản lý Cảm biến mạng RealSecure, Cảm biến Gigabit, Cảm biến máy chủ RealSecure và RealSecure cho Nokia. Nó có thể được sử dụng khi không có các giải pháp ISS khác và với một số lượng nhỏ cảm biến trong mạng (tối đa năm).

Giao diện dòng lệnh RealSecure được thiết kế để chỉ kiểm soát dòng lệnh của Cảm biến mạng RealSecure và Cảm biến Gigabit. Mô-đun điều khiển này được định hướng để sử dụng cục bộ.

Symantec

Các sản phẩm Intruder Alert và NetProwler (hiện đang phát hành phiên bản 3.6 và 3.5.1 tương ứng) được mô tả đầy đủ chi tiết trong bài đánh giá nêu trên ("BYTE / Russia", Số 10" 2001, trang 14).

Mạng Enterasys

Enterasys Networks là một phần của công ty Cabletron Systems trước đây. Nó tạo ra IDS Dragon (loại dựa trên mạng). Kiến trúc bên trong của phiên bản thứ sáu của hệ thống đã tăng khả năng mở rộng. Hệ thống bao gồm các thành phần Network Sensor, Squire Host Sensor, một module điều khiển với giao diện Web Dragon Policy Manager và hệ thống giám sát an ninh mạng thời gian thực tập trung Dragon Security Information Manager.

Cộng tác viên máy tính

eTrust Intrusion Development (trước đây là SessionWall) cung cấp khả năng giám sát và bảo mật mạng cục bộ. Sản phẩm phần mềm khá đơn giản và hiệu quả cao này cung cấp khả năng giám sát, phát hiện tấn công, kiểm soát lưu lượng WWW và ghi nhật ký. Thư viện mẫu tấn công mở rộng của eTrust Intrusion Development được cập nhật thường xuyên và tự động xác định các cuộc tấn công phù hợp với mẫu.

Hệ thống này có thể được sử dụng như một công cụ đánh hơi, ngoài ra, nó cho phép bạn hạn chế quyền truy cập vào các trang Internet bằng cách sử dụng các quy tắc có chứa từ khóa. eTrust cũng lưu giữ các bản ghi định lượng về lưu lượng mạng.

Phát hiện vi-rút và các thành phần Java/ActiveX nguy hiểm. Nỗ lực đoán mật khẩu để đăng nhập vào hệ thống của người dùng sẽ được xác định và ghi lại, điều này sau đó có thể hữu ích cho các quyết định tổ chức của ban quản lý công ty.

Phát hiện xâm nhập eTrust cung cấp khả năng xem theo ngữ cảnh của tất cả các gói lưu hành trên mạng cục bộ và chặn chúng nếu có các từ khóa do quản trị viên xác định.

Bảo mật NFR

Công ty được thành lập vào năm 1996 với mục tiêu phát triển các hệ thống IDS tiên tiến.

Hệ thống NFR NID cung cấp giám sát lưu lượng mạng theo thời gian thực, xác định hoạt động đáng ngờ, các cuộc tấn công khác nhau, hành vi bị cấm của người dùng trên mạng và các bất thường thống kê khác nhau. Các cảm biến được sử dụng có thể hoạt động ở tốc độ 1 Gbit/s và 100 Mbit/s mà không làm mất gói. Không giống như các hệ thống IDS truyền thống (so sánh lưu lượng truy cập với dấu hiệu tấn công), NFR NID sử dụng cơ sở kiến ​​thức chuyên biệt, kiểm tra hoạt động mạng bằng cách sử dụng các cách khai thác đã biết, giúp xác định các loại tấn công mới trong lưu lượng truy cập, chẳng hạn như Code Red và Nimda.

NFR HID hoạt động ở cấp máy chủ, cho phép bạn xác định các lỗ hổng và chính sách bảo mật yếu, xác định hoạt động đáng ngờ của người dùng và giám sát máy chủ được bảo vệ ở cấp độ tấn công mạng. Có khả năng hỗ trợ tới 10 nghìn máy chủ, rất thuận tiện trong các mạng lớn. Hệ thống sử dụng hai loại chương trình tác nhân: Tác nhân phân tích nhật ký giám sát các tệp nhật ký mạng và kernel, bao gồm cả nhật ký hệ thống. Network Node Agent giám sát lưu lượng mạng và phát hiện các cuộc tấn công DoS trên máy chủ được bảo vệ (từ chối dịch vụ), các cuộc tấn công lấy mật khẩu FTP, tấn công phf Web, quét CGI, quét BackOrifice, v.v. Rất thích hợp để làm việc trong các mạng có mã hóa và mạng chuyển mạch.

Bẫy ưu đãi

Lịch sử phát triển của Tripwire và NFR, cũng như một số tính năng chức năng của sản phẩm của họ, được nêu trong cùng một bài đánh giá ở. Lưu ý rằng có ba sản phẩm chính của công ty này, tên của chúng đã nói lên điều đó (dành cho Máy chủ, Thiết bị mạng và Trang web). Tính năng công nghệ chính của chúng là tính toán tổng kiểm tra các tệp và mô-đun chính.

Khịt mũi

Snort là một hệ thống phát hiện xâm nhập nhẹ. Chương trình phân tích giao thức truyền, phát hiện các cuộc tấn công khác nhau, ví dụ như tràn bộ đệm, quét, tấn công CGI, cố gắng phát hiện hệ điều hành, v.v. Snort sử dụng các quy tắc đặc biệt để tìm kiếm các cuộc tấn công trong lưu lượng truy cập. Hệ thống này dễ thiết lập và bảo trì, nhưng phần lớn hệ thống phải được cấu hình bằng tay, không có giao diện đồ họa thuận tiện.

Chương trình hoạt động ở ba chế độ: sniffer, packet logger và hệ thống phát hiện xâm nhập mạng. Trong trường hợp đầu tiên, hệ thống xem các gói ở cấp độ mạng và hiển thị thông tin về chúng trên bảng điều khiển, trong trường hợp thứ hai, nó ghi các tệp nhật ký vào đĩa, trong trường hợp thứ ba, nó phân tích lưu lượng mạng để khớp các dấu hiệu và tín hiệu tấn công về chúng.

Nhóm nghiên cứu Internetwork, BBN Technologies

Dòng sản phẩm NIDS, SecureNet, bao gồm các thiết bị được thiết kế cho mạng tốc độ cao (SecureNet 5000 và 7000), bảo vệ máy tính cá nhân (SecureNet 2000), cũng như hệ thống giám sát Nhà cung cấp SecureNet và phần mềm SecureNet Pro đặc biệt.

Hệ thống SecureHost (IDS dựa trên máy chủ) được thiết kế để bảo vệ PC và máy chủ bằng cách giới thiệu các cảm biến đặc biệt - các chương trình tác nhân. Các đại lý đảm bảo rằng các quyết định được đưa ra khi một cuộc tấn công xảy ra trong thời gian thực theo chính sách bảo vệ đã được thông qua. Bộ phần mềm Intrusion SecureHost bao gồm một bảng điều khiển quản lý dựa trên Microsoft Windows 2000 Server và các tác nhân chạy trên các hệ thống chạy Microsoft Windows NT, Windows 2000 hoặc Sun Solaris 2.8.

Cơn bão lửa

NIDS Firestorm tốc độ cao, được phát triển bởi Giani Tedesco và được cung cấp miễn phí, hiện được trình bày chủ yếu dưới dạng cảm biến chạy Linux. Các tính năng của hệ thống là:

  • thông tin được thu thập bằng thư viện libpcap, cho phép bạn chặn các gói từ lưu lượng mạng;
  • hệ thống hỗ trợ các quy tắc được viết cho Snort;
  • dễ dàng cấu hình bằng cách chỉnh sửa tệp firestorm.conf;
  • hiểu chế độ vận hành kiểm tra trạng thái (công nghệ kiểm tra gói có tính đến trạng thái của giao thức);
  • chuẩn bị các tệp nhật ký ở định dạng ASCII hoặc tcpdump;
  • tương quan các sự kiện;
  • đưa ra tín hiệu về một cuộc tấn công vào thiết bị từ xa - bảng điều khiển.

Tuy nhiên (như trường hợp thường xảy ra với phần mềm miễn phí), hệ thống rất dễ bị tấn công. Có khả năng xảy ra một cuộc tấn công vào hệ thống này khiến NIDS bị đóng băng. Cuộc tấn công đã được mô tả trong các nguồn cấp tin tức; vấn đề hóa ra là lỗi trong mô-đun xử lý bộ nhớ.

Công nghệ psionic

Sản phẩm TriSentry (trước đây là công cụ của Dự án Abacus) được thiết kế để cải thiện tính bảo mật của mạng công ty bằng cách xác định các cuộc tấn công khác nhau. Hệ thống bao gồm ba thành phần cơ bản: PortSentry, HostSentry và LogSentry. IDS được thiết kế để hoạt động trong môi trường UNIX.

PortSentry là một trình phát hiện quét đơn giản giúp dừng liên lạc giữa máy chủ nạn nhân và kẻ tấn công. Máy chủ "đặt lại" các tuyến cục bộ, đặt quy tắc truy cập động và thêm máy chủ vào các tệp Host.deny trình bao bọc TCP đặc biệt, tất cả đều theo thời gian thực.

HostSentry cho phép quản trị viên bảo mật phát hiện hoạt động bất thường của người dùng (Phát hiện bất thường khi đăng nhập, LAD).

LogSentry (trước đây là Logcheck) tự động giám sát các tệp nhật ký hệ thống để phát hiện các sự cố bảo mật trong hệ thống email. Bộ chương trình này, trước đây được cung cấp cùng với tường lửa TIS Gauntlet, đã được thiết kế lại đáng kể để kiểm tra nhiều hệ thống hơn.

Lancope

Hệ thống phần cứng và phần mềm StealthWatch là một hệ thống mạnh mẽ để giám sát, phát hiện và ứng phó với các cuộc tấn công trong môi trường tốc độ cao. Không giống như các hệ thống truyền thống, nó có kiến ​​trúc dựa trên luồng, cho phép bạn xác định các cuộc tấn công mới mà không cần truy cập vào cơ sở dữ liệu về các dấu hiệu hiện có. Kiến trúc mới cung cấp khả năng phát hiện chuyên sâu các cuộc tấn công dựa trên hoạt động bất thường, hoạt động trong môi trường tốc độ cao (từ song công hoàn toàn 100 Mbps đến 1 Gbps) và phản ứng chậm hơn đáng kể với các cuộc tấn công sai.

OneSecure

Trong hệ thống Phát hiện và Ngăn chặn Xâm nhập OneSecure (IDP), công ty đã đề xuất một cơ chế đặc biệt - Phát hiện Đa Phương thức (MMD), kết hợp các phương pháp nổi tiếng nhất để xác định các lỗ hổng.

Công nghệ truy đòi

Công ty cung cấp hai sản phẩm: ManTrap cung cấp khả năng bảo vệ cho các máy chủ quan trọng nhất, ManHunt phát hiện các cuộc tấn công ở cấp độ mạng, kể cả trong môi trường gigabit. Các cảm biến phân tán và máy chủ xử lý và ra quyết định trung tâm được sử dụng. Đồng thời, phương pháp do công ty phát triển (zero-day) phát hiện không chỉ các cuộc tấn công đã biết mà cả các cuộc tấn công mới.

Các sản phẩm Emerald, NetStat, Shadow và Bro được thảo luận chi tiết trong "BYTE/Nga", số 10"2001.

Xu hướng mới

Bộ chuyển mạch ngày càng được sử dụng rộng rãi trong các mạng doanh nghiệp vì chúng cung cấp băng thông lớn hơn các hub và bảo vệ khỏi các cuộc tấn công của kẻ đánh hơi nhằm chặn thông tin nhạy cảm. Tuy nhiên, vấn đề với việc sử dụng NIDS vẫn còn. Có các công tắc có tính năng phản chiếu cổng (cổng SPAN), sao chép dữ liệu đi qua công tắc sang một cổng chuyên dụng. Về mặt lý thuyết, bằng cách sử dụng cổng SPAN, có thể kiểm tra toàn bộ luồng dữ liệu, nhưng nếu lưu lượng được nhân đôi vượt quá giới hạn cho phép thì việc mất gói sẽ bắt đầu.

Đã có giải pháp cho mạng gigabit, nhưng có một vấn đề khác - mã hóa. Ngày nay, không có quản trị viên có lòng tự trọng nào làm việc từ xa với hệ thống của họ mà không có SSH hoặc SSL và vì quá trình truyền dữ liệu được mã hóa nên vấn đề sử dụng IDS vẫn còn. Nó nằm ở chỗ không thể giải mã tất cả lưu lượng truy cập và do đó không thể kiểm tra các dấu hiệu tấn công. Trong tương lai gần, hầu hết tất cả các nhà sản xuất (nếu muốn chiếm một vị trí xứng đáng trên thị trường IDS) sẽ hoàn thiện sản phẩm của mình để sử dụng trong mạng gigabit.

Một vấn đề khác là thu thập thông tin và phân tích nó. Ngay cả chuyên gia bảo mật nghiêm túc nhất cũng là một con người và có thể không nhận thấy một số chi tiết sẽ che giấu anh ta về việc chuẩn bị hoặc thực hiện một cuộc tấn công vào máy chủ của công ty. Các dự án Spice và Spade đã được triển khai để phát triển công nghệ phát hiện hoạt động bất thường và chúng sẽ giúp giải quyết vấn đề này.

Không còn nghi ngờ gì nữa, IDS đang phát triển theo hướng thu thập và liên kết thông tin. Trong trường hợp này, thông tin phải đến từ nhiều nguồn khác nhau (cảm biến). Rất có thể, sự khác biệt giữa NIDS và HIDS sẽ dần biến mất và trong tương lai, các hệ thống quản lý tập trung có khả năng ra quyết định sẽ được tạo ra (ít nhất là trong các trường hợp đơn giản), điều này sẽ giảm đáng kể gánh nặng cho quản trị viên chịu trách nhiệm về bảo mật máy tính. mạng.

Công việc phòng thí nghiệm số_ . Hệ thống phát hiện tấn công thời gian thực.

Mục tiêu của công việc: Làm quen với nguyên lý hoạt động của hệ thống phát hiện tấn công hoạt động theo thời gian thực. Cài đặt và cấu hình hệ thống phát hiện tấn công thực Đen ĐÁ hậu vệ.

    CÁC KHÁI NIỆM CƠ BẢN

Hệ thống và mạng là mục tiêu của các cuộc tấn công. Ngày càng có nhiều cuộc tấn công được ghi lại trên các tài nguyên Internet nhằm vi phạm các chính sách bảo mật hiện có. Hệ thống phân tích bảo mật (máy quét bảo mật) kiểm tra các hệ thống và mạng để tìm kiếm các vấn đề trong quá trình triển khai và cấu hình dẫn đến những vi phạm này. Hệ thống phát hiện tấn công (sau đây gọi là ID-hệ thống, Xâm nhập Phát hiện Hệ thống) thu thập nhiều thông tin khác nhau từ nhiều nguồn khác nhau và phân tích thông tin đó để phát hiện các hành vi vi phạm chính sách bảo mật khác nhau. Cả phân tích bảo mật và phát hiện tấn công đều cho phép các tổ chức tự bảo vệ mình khỏi những tổn thất liên quan đến vi phạm bảo mật.

ID-hệ thống thu thập thông tin về việc sử dụng nhiều loại tài nguyên hệ thống và mạng, sau đó phân tích thông tin về sự xâm nhập (các cuộc tấn công đến từ bên ngoài tổ chức) và lạm dụng (các cuộc tấn công đến từ bên trong tổ chức). Phát hiện tấn công là quá trình đánh giá các hoạt động đáng ngờ xảy ra trên mạng công ty. Phát hiện tấn công được thực hiện thông qua phân tích nhật ký hệ điều hành và ứng dụng hoặc lưu lượng mạng thời gian thực. Các thành phần phát hiện xâm nhập nằm trên các nút hoặc phân đoạn mạng đánh giá các hành động khác nhau, bao gồm. và khai thác các lỗ hổng đã biết.

Có một số cách phân loại ID-hệ thống Một trong số đó dựa trên nguyên tắc thực hiện:

    chủ nhà-dựa trên- phát hiện các cuộc tấn công nhằm vào một nút mạng cụ thể,

    Mạng- dựa trên- phát hiện các cuộc tấn công nhằm vào toàn bộ mạng hoặc phân đoạn mạng.

Hệ thống lớp chủ nhà-dựa trên có thể được chia thành ba cấp độ nhỏ hơn:

    Ứng dụng ID- phát hiện các cuộc tấn công nhằm vào các ứng dụng cụ thể;

    hệ điều hành ID- phát hiện các cuộc tấn công nhằm vào hệ điều hành;

    cơ sở dữ liệu ID- phát hiện các cuộc tấn công nhằm vào DBMS.

Việc tách việc phát hiện các cuộc tấn công vào DBMS thành một danh mục riêng là do các DBMS hiện đại đã rời khỏi danh mục các ứng dụng thông thường và trong nhiều đặc điểm của chúng, bao gồm cả. và về mặt phức tạp, chúng gần với hệ điều hành. Như vậy, việc phân loại ID-Hệ thống dựa trên nguyên tắc thực hiện như sau:

Cơm. 1. Phân loại hệ thống phát hiện tấn công theo nguyên tắc thực hiện

ID-Hệ thống thực hiện một số chức năng sau:

    Giám sát và phân tích hoạt động của người dùng và hệ thống;

    Kiểm tra cấu hình hệ thống;

    Giám sát tính toàn vẹn của tệp hệ thống và tệp dữ liệu;

    Nhận biết các kiểu hành động phản ánh các cuộc tấn công đã biết;

    Phân tích thống kê các mẫu hành động bất thường.

Nên trích dẫn phát biểu của các chuyên gia nổi tiếng trong lĩnh vực ID-hệ thống:

Marcus Ranum: ID-hệ thống phát hiện các cuộc tấn công đã biết một cách kịp thời. Bạn không nên mong đợi những hệ thống như vậy sẽ phát hiện được các cuộc tấn công hiện chưa rõ. Vấn đề khám phá một điều gì đó cho đến nay vẫn chưa được biết đến là rất khó và nằm trong lĩnh vực trí tuệ nhân tạo và hệ thống chuyên gia. Nhiều khả năng hơn, ID-systems tương tự như các chương trình chống vi-rút được sử dụng để tìm kiếm vi-rút trên ổ cứng hoặc mạng.

Lee Satterfield: Các hệ thống phát hiện tấn công hiện đại có khả năng giám sát hoạt động của mạng và hệ điều hành trong thời gian thực, phát hiện các hành động trái phép và tự động phản hồi chúng. Bên cạnh đó, ID-hệ thống có thể phân tích các sự kiện hiện tại, tính đến các sự kiện đã xảy ra, giúp xác định các cuộc tấn công lan truyền theo thời gian và từ đó dự đoán các sự kiện trong tương lai. Có thể kỳ vọng rằng công nghệ phát hiện xâm nhập sẽ cải thiện đáng kể mức độ bảo mật hiện có đạt được bằng các phương tiện “tiêu chuẩn” bằng cách quản lý các hành động trái phép trong thời gian thực.

Trong lịch sử, các công nghệ được sử dụng để xây dựng ID-hệ thống được chia thành hai loại theo quy ước: phát hiện hành vi bất thường ( nghĩa bóng phát hiện) và phát hiện lạm dụng ( lạm dụng phát hiện). Tuy nhiên, trên thực tế, phân loại được sử dụng có tính đến các nguyên tắc triển khai thực tế của các hệ thống đó - phát hiện các cuộc tấn công ở cấp độ mạng và cấp độ máy chủ.

Các hệ thống dựa trên mạng phân tích lưu lượng mạng, trong khi các hệ thống dựa trên máy chủ phân tích nhật ký hệ điều hành hoặc ứng dụng. Mỗi lớp đều có ưu điểm và nhược điểm riêng. Cần lưu ý rằng chỉ một số ID-systems có thể được gán rõ ràng cho một trong các lớp được đặt tên. Thông thường, chúng bao gồm các khả năng từ một số loại. Tuy nhiên, sự phân loại này phản ánh những khả năng chính giúp phân biệt một ID- hệ thống từ một hệ thống khác.

Ưu điểm cơ bản của mạng ID-systems là chúng xác định các cuộc tấn công trước khi chúng đến được nút bị tấn công. Các hệ thống này dễ triển khai hơn trên các mạng lớn vì chúng không yêu cầu cài đặt trên các nền tảng khác nhau được tổ chức sử dụng. Bên cạnh đó, ID-hệ thống ở cấp độ mạng thực tế không làm giảm hiệu suất mạng.

ID-Các hệ thống cấp máy chủ được thiết kế để chạy một hệ điều hành cụ thể, hệ điều hành này áp đặt một số hạn chế nhất định đối với chúng. Sử dụng kiến ​​thức về cách hệ điều hành hoạt động, các công cụ được xây dựng theo phương pháp này đôi khi có thể phát hiện các hành vi xâm nhập mà các công cụ phát hiện xâm nhập mạng bỏ sót. Tuy nhiên, điều này thường phải trả giá đắt vì việc ghi nhật ký liên tục cần thiết để thực hiện kiểu khám phá này làm giảm đáng kể hiệu suất của máy chủ được bảo vệ. Các hệ thống như vậy sử dụng nhiều bộ xử lý và yêu cầu lượng không gian đĩa lớn để lưu trữ nhật ký và về nguyên tắc, không thể áp dụng cho các hệ thống thời gian thực có tính quan trọng cao (ví dụ: hệ thống hàng ngày của ngân hàng, hệ thống kiểm soát quy trình, hoặc hệ thống kiểm soát giám sát). Dù thế nào đi nữa, cả hai cách tiếp cận này đều có thể được sử dụng để bảo vệ tổ chức của bạn. Nếu bạn muốn bảo vệ một hoặc nhiều nút thì ID-Hệ thống cấp máy chủ có thể là một lựa chọn tốt. Tuy nhiên, nếu bạn muốn bảo vệ hầu hết các nút mạng của tổ chức mình thì ID-hệ thống cấp độ mạng có thể là lựa chọn tốt hơn, vì việc tăng số lượng nút trong mạng sẽ không ảnh hưởng đến mức độ bảo mật đạt được với ID-hệ thống. Nó sẽ có thể bảo vệ các nút bổ sung mà không cần cấu hình bổ sung, trong khi trong trường hợp sử dụng hệ thống hoạt động ở cấp máy chủ, nó sẽ cần được cài đặt và định cấu hình trên mỗi máy chủ được bảo vệ. Giải pháp lý tưởng là sử dụng ID- một hệ thống kết hợp cả hai cách tiếp cận này.

Công nghệ đằng sau các hệ thống này dựa trên giả thuyết rằng hành vi bất thường của người dùng (tức là một cuộc tấn công hoặc một loại hành động thù địch nào đó) thường biểu hiện dưới dạng sai lệch so với hành vi bình thường. Ví dụ về hành vi bất thường bao gồm: số lượng lớn kết nối trong một khoảng thời gian ngắn, tải CPU cao hoặc việc sử dụng các thiết bị ngoại vi mà người dùng thường không sử dụng. Nếu chúng ta có thể mô tả hồ sơ hành vi thông thường của người dùng thì bất kỳ sai lệch nào so với hồ sơ đó đều có thể được mô tả là hành vi bất thường. Tuy nhiên, hành vi bất thường không phải lúc nào cũng là một cuộc tấn công. Ví dụ: gửi đồng thời một số lượng lớn yêu cầu về hoạt động của trạm từ quản trị viên hệ thống quản lý mạng. Nhiều ID-hệ thống xác định ví dụ này là một cuộc tấn công từ chối dịch vụ (" phủ nhận của dịch vụ"). Khi tính đến thực tế này, cần lưu ý rằng có thể xảy ra hai trường hợp cực đoan khi vận hành hệ thống:

1. Phát hiện hành vi bất thường không phải là cuộc tấn công và phân loại hành vi đó là cuộc tấn công.

2. Bỏ lỡ một cuộc tấn công không đáp ứng được định nghĩa về hành vi bất thường. Trường hợp này nguy hiểm hơn nhiều so với việc phân loại sai hành vi dị thường thành một cuộc tấn công. Vì vậy, khi thiết lập và vận hành các hệ thống thuộc danh mục này, quản trị viên gặp phải các vấn đề sau:

    Xây dựng hồ sơ người dùng. Một công việc khó khăn và tốn thời gian để chính thức hóa, đòi hỏi nhiều công việc sơ bộ từ người quản trị.

    Xác định các giá trị biên của đặc điểm hành vi người dùng để giảm khả năng xảy ra một trong các trường hợp cực đoan nêu trên.

Tổ chức hệ thống id

Tất cả các hệ thống phát hiện tấn công có thể được xây dựng trên cơ sở hai kiến ​​trúc: " đại lý tự trị" Và " quản lý đại lý"Trong trường hợp đầu tiên, các tác nhân hệ thống được cài đặt trên mỗi nút hoặc phân đoạn mạng được bảo vệ, không thể trao đổi thông tin với nhau và cũng không thể được quản lý tập trung từ một bảng điều khiển duy nhất. Kiến trúc không có những thiếu sót này." quản lý đại lý".

Dưới đây là danh sách các thành phần điển hình ID-hệ thống:

1. GUI . Không cần phải nói, ngay cả một công cụ rất mạnh mẽ và hiệu quả cũng sẽ không được sử dụng nếu nó không có giao diện thân thiện. Tùy thuộc vào hệ điều hành mà nó hoạt động ID-hệ thống, giao diện đồ họa phải tuân thủ các tiêu chuẩn thực tế cho các cửa sổUnix.

2. Hệ thống con quản lý thành phần . Hệ thống con này cho phép bạn kiểm soát các thành phần khác nhau ID-hệ thống. Việc quản lý có thể được thực hiện bằng cách sử dụng các giao thức và giao diện nội bộ cũng như sử dụng các tiêu chuẩn đã được phát triển, chẳng hạn như SNMP. Thuật ngữ “kiểm soát” được hiểu là khả năng thay đổi chính sách bảo mật cho nhiều thành phần khác nhau ID-system (ví dụ: mô-đun theo dõi) và thu thập thông tin từ các thành phần này (ví dụ: thông tin về một cuộc tấn công đã đăng ký).

3. Hệ thống con phát hiện tấn công . Thành phần chính ID- một hệ thống phân tích thông tin nhận được từ mô-đun theo dõi. Dựa trên kết quả phân tích, hệ thống con này có thể xác định các cuộc tấn công, đưa ra quyết định liên quan đến các tùy chọn phản hồi, lưu trữ thông tin về cuộc tấn công trong kho dữ liệu, v.v.

4. Hệ thống con phản hồi . Một hệ thống con phản ứng với các cuộc tấn công được phát hiện và các sự kiện được kiểm soát khác.

Các tùy chọn phản hồi sẽ được mô tả chi tiết hơn bên dưới.

5. mô-đun theo dõi . Một thành phần cung cấp khả năng thu thập dữ liệu từ một không gian được kiểm soát (đăng ký hoặc lưu lượng truy cập mạng). Các nhà sản xuất khác nhau có thể gọi nó là: cảm biến ( cảm biến), màn hình ( màn hình), thăm dò ( thăm dò).

Tùy theo kiến ​​trúc công trình ID-các hệ thống có thể được tách biệt về mặt vật lý (kiến trúc " quản lý đại lý") từ các thành phần khác, tức là nằm trên một máy tính khác.

6. Kiến thức cơ bản . Tùy thuộc vào các phương pháp được sử dụng trong ID-system, cơ sở kiến ​​thức có thể chứa hồ sơ hệ thống máy tính và người dùng, các dấu hiệu tấn công hoặc các chuỗi đáng ngờ đặc trưng cho hoạt động trái phép. Cơ sở dữ liệu này có thể được cập nhật bởi nhà sản xuất ID- hệ thống, người dùng hệ thống hoặc bên thứ ba, ví dụ: công ty bảo trì hệ thống.

7. Kho dữ liệu . Cung cấp lưu trữ dữ liệu được thu thập trong quá trình hoạt động ID-hệ thống.

phương pháp phản hồi của hệ thống id

Nó không đủ để phát hiện một cuộc tấn công. Chúng ta cũng cần phải phản ứng kịp thời. Hơn nữa, phản ứng trước một cuộc tấn công không chỉ là ngăn chặn nó. Thường cần phải “cho” kẻ tấn công vào mạng của công ty để ghi lại tất cả hành động của hắn và sau đó sử dụng chúng trong quá trình điều tra. Do đó, các hệ thống hiện tại sử dụng nhiều phương thức phản hồi khác nhau, có thể chia thành 3 loại: thông báo, lưu trữ và phản hồi tích cực:

1. Thông báo . Phương pháp thông báo đơn giản và phổ biến nhất là gửi tin nhắn cho quản trị viên bảo mật về một cuộc tấn công vào bảng điều khiển ID-hệ thống. Vì không thể cài đặt bảng điều khiển như vậy cho mọi nhân viên chịu trách nhiệm về bảo mật trong tổ chức và trong trường hợp những nhân viên này có thể không quan tâm đến tất cả các sự kiện bảo mật, nên phải sử dụng các cơ chế thông báo khác. Cơ chế như vậy là gửi tin nhắn qua email, máy nhắn tin, fax hoặc điện thoại.

2. Sự bảo tồn . Danh mục “bảo tồn” bao gồm hai tùy chọn phản hồi: ghi lại sự kiện vào cơ sở dữ liệu và phát lại cuộc tấn công trong thời gian thực.

Tùy chọn đầu tiên được phổ biến rộng rãi trong nhiều hệ thống bảo mật.

Tùy chọn thứ hai thú vị hơn. Nó cho phép quản trị viên bảo mật tái tạo trong thời gian thực (ở tốc độ nhất định) tất cả các hành động do kẻ tấn công thực hiện. Điều này cho phép bạn không chỉ phân tích các cuộc tấn công “thành công” và ngăn chặn chúng trong tương lai mà còn sử dụng dữ liệu được thu thập để điều tra.

3. Phản hồi tích cực . Danh mục này bao gồm các tùy chọn phản hồi sau: chặn công việc của kẻ tấn công, kết thúc phiên với nút tấn công, quản lý thiết bị mạng và các biện pháp bảo mật. Loại cơ chế phản hồi này một mặt khá hiệu quả, nhưng mặt khác, chúng phải được sử dụng hết sức cẩn thận, tức là nếu hoạt động không chính xác, chúng có thể dẫn đến gián đoạn toàn bộ hệ thống máy tính.

quá trình hoạt động, trong đó một hacker bị phát hiện khi anh ta cố gắng xâm nhập vào hệ thống. Lý tưởng nhất là hệ thống như vậy sẽ chỉ đưa ra cảnh báo khi có nỗ lực xâm nhập. Phát hiện xâm nhập giúp chủ động xác định các mối đe dọa đang hoạt động thông qua các cảnh báo và cảnh báo rằng kẻ tấn công đang thu thập thông tin cần thiết để thực hiện một cuộc tấn công. Trong thực tế, như sẽ được trình bày trong tài liệu bài giảng, điều này không phải lúc nào cũng đúng. Trước khi thảo luận chi tiết liên quan đến phát hiện xâm nhập, hãy xác định xem nó thực sự là gì.

Hệ thống phát hiện xâm nhập (IDS) đã có từ rất lâu. Đầu tiên trong số này có thể được coi là chó canh gác ban đêm và bảo vệ. Chó canh gác và chó bảo vệ thực hiện hai nhiệm vụ: chúng xác định các hành động đáng ngờ do ai đó khởi xướng và ngăn chặn kẻ đột nhập tiếp tục xâm nhập. Theo quy định, bọn cướp tránh chạm trán với chó và trong hầu hết các trường hợp, cố gắng tránh các tòa nhà có chó canh gác. Điều tương tự cũng có thể nói về việc thức đêm. Những tên cướp không muốn bị những người tuần tra có vũ trang hoặc nhân viên bảo vệ chú ý, những người có thể gọi cảnh sát.

Báo động trong các tòa nhà và ô tô cũng là một loại hệ thống phát hiện xâm nhập. Nếu như hệ thống thông báo phát hiện sự việc cần chú ý (ví dụ: cửa sổ bị vỡ hoặc cửa bị mở), cảnh báo được phát ra bằng cách thắp đèn, bật tín hiệu âm thanh hoặc truyền tín hiệu báo động đến bảng điều khiển của đồn cảnh sát . Chức năng ngăn chặn trộm được thực hiện bằng miếng dán cảnh báo trên cửa sổ hoặc biển báo đặt trước cửa nhà. Trên ô tô, theo quy định, khi có báo động, đèn đỏ sẽ sáng, cảnh báo về trạng thái hoạt động của hệ thống báo động.

Tất cả các ví dụ này đều dựa trên cùng một nguyên tắc: phát hiện mọi nỗ lực xâm nhập vào chu vi được bảo vệ của một đối tượng (văn phòng, tòa nhà, ô tô, v.v.). Trong trường hợp ô tô hoặc tòa nhà, chu vi bảo vệ tương đối dễ xác định. Các bức tường của một tòa nhà, hàng rào xung quanh khu vực tư nhân, cửa ra vào và cửa sổ ô tô xác định rõ ràng chu vi được bảo vệ. Một đặc điểm chung khác cho tất cả các trường hợp này là tiêu chí rõ ràng về những gì chính xác cấu thành một nỗ lực xâm nhập và chính xác những gì cấu thành chu vi được bảo vệ.

Nếu bạn chuyển khái niệm về hệ thống báo động sang thế giới máy tính, bạn sẽ có được khái niệm cơ bản về hệ thống phát hiện xâm nhập. Cần phải xác định phạm vi bảo mật thực sự của hệ thống máy tính hoặc mạng là gì. Rõ ràng, chu vi bảo vệ trong trường hợp này không phải là một bức tường hay hàng rào. Chu vi an ninh mạng là một chu vi ảo trong đó các hệ thống máy tính được đặt. Chu vi này có thể được xác định bằng tường lửa, điểm phân tách kết nối hoặc máy tính để bàn có modem. Chu vi này có thể được mở rộng để chứa các máy tính tại nhà của nhân viên được phép kết nối với nhau hoặc các đối tác kinh doanh được phép kết nối vào mạng. Với sự ra đời của mạng không dây trong tương tác kinh doanh, phạm vi bảo mật của tổ chức sẽ mở rộng theo quy mô của mạng không dây.

Báo động đột nhập được thiết kế để phát hiện mọi nỗ lực xâm nhập vào khu vực được bảo vệ khi khu vực đó không được sử dụng. Hệ thống phát hiện xâm nhập IDS được thiết kế để phân biệt giữa mục nhập được ủy quyền và mục nhập trái phép, điều này khó thực hiện hơn nhiều. Dưới đây là ví dụ về một cửa hàng trang sức có chuông báo động chống trộm. Nếu có ai đó, kể cả chủ cửa hàng mở cửa, chuông báo động sẽ vang lên. Sau đó, chủ sở hữu phải thông báo cho công ty báo động rằng anh ta là người đã mở cửa hàng và mọi thứ vẫn ổn. Mặt khác, hệ thống IDS có thể được so sánh với một nhân viên bảo vệ giám sát mọi thứ xảy ra trong cửa hàng và phát hiện các hành động trái phép (chẳng hạn như mang súng vào). Thật không may, trong thế giới ảo, “súng” thường vô hình.

Vấn đề thứ hai cần xem xét là xác định sự kiện nào cấu thành hành vi vi phạm vành đai an ninh. Việc cố gắng xác định các máy tính đang chạy có vi phạm pháp luật không? Phải làm gì trong trường hợp xảy ra một cuộc tấn công đã biết vào hệ thống hoặc mạng? Khi những câu hỏi này được đặt ra, rõ ràng là không dễ tìm được câu trả lời. Hơn nữa, chúng còn phụ thuộc vào các sự kiện khác và trạng thái của hệ thống mục tiêu.

Xác định các loại hệ thống phát hiện xâm nhập

Có hai loại IDS chính: dựa trên trung tâm (HIDS) và dựa trên mạng (NIDS). Hệ thống HIDS được đặt trên một nút riêng biệt và theo dõi các dấu hiệu tấn công vào nút này. Hệ thống NIDS nằm trên một hệ thống riêng biệt giám sát lưu lượng mạng để phát hiện các dấu hiệu của các cuộc tấn công đang được tiến hành trên phân đoạn mạng được kiểm soát. Hình 13.1 cho thấy hai loại IDS có thể có trong môi trường mạng.


Cơm. 13.1.

ID nút

IDS dựa trên nút (HIDS) là một hệ thống cảm biến được tải lên nhiều máy chủ khác nhau trong một tổ chức và được quản lý bởi một bộ điều phối trung tâm. Cảm biến giám sát nhiều loại sự kiện khác nhau (xem thêm về các sự kiện này trong phần tiếp theo) và thực hiện các hành động cụ thể trên máy chủ hoặc gửi thông báo. Cảm biến HIDS giám sát các sự kiện liên quan đến máy chủ nơi chúng được tải. Cảm biến HIDS cho phép bạn xác định xem cuộc tấn công có thành công hay không nếu cuộc tấn công diễn ra trên cùng nền tảng mà cảm biến được cài đặt.

Như sẽ được thảo luận sau, các loại cảm biến HIDS khác nhau có thể thực hiện các loại nhiệm vụ phát hiện xâm nhập khác nhau. Không phải mọi loại cảm biến đều có thể được sử dụng trong một tổ chức và thậm chí các máy chủ khác nhau trong cùng một tổ chức cũng có thể yêu cầu các cảm biến khác nhau. Cần lưu ý rằng hệ thống