42 trang 2 lượt tải

Bài 3. Hệ thống phát hiện và ngăn chặn tấn công (IDPS) môn Phòng chống tấn công mạng | Trường Đại học Bách Khoa Hà Nội

3

Hệ thống phát hiện và ngăn chặn tấn công: Hệ thống có khả năng giám sát các sự kiện xảy ra trong máy tính hoặc mạng, phân tích chúng để tìm dấu hiệu xâm nhập và ngăn chặn tấn công. Tài liệu được sưu tầm gồm 42 trang, giúp các bạn ôn luyện và phục vụ cho việc học tập, đạt kết quả tốt. Mời các bạn đón xem!

Môn: Phòng chống tấn công mạng 10 tài liệu

Trường: Đại học Bách Khoa Hà Nội 3 K tài liệu

Tác giả:

Profile

My Lữ

1 ngày trước
Danh sách Quiz
/42
1
3
IDPS là gì?
Hệ thống phát hiện và ngăn chặn tấn công: Hệ thống
có khả năng giám sát các sự kiện xảy ra trong máy
tính hoặc mạng, phân tích chúng để tìm dấu hiệu xâm
nhập và ngăn chặn tấn công
Có cấu trúc phức tạp: Bao gồm nhiều hơn một ứng dụng hoặc
thiết bị phần cứng
Không chỉ phân tích lưu lượng mạng
Không chỉ phát hiện mà còn kết hợp ngăn chặn
IDPS chỉ là một lớp trong hệ thống phòng thủ theo
chiều sâu
4
4
Yêu cầu của IDPS
Phân tích và đánh giá khối lượng lớn dữ liệu về hoạt
động của hệ thống để tìm dấu hiệu truy cập trái phép
Phát hiện và ghi nhận thông tin (log) về truy cập trái
phép:
Thông tin được lưu trữ một cách an toàn
Phản hồi gần như ngay lập tức
Làm cho chính nó và các hệ thống mà nó bảo vệ khó
bị kẻ tấn công tiếp cận nhất có thể
5
5
Ví dụ (5): Làm thế nào để phát hiện?
Phương pháp 1: Phân tích lưu lượng mạng
Phát hiện mẫu ký tự của tấn công dot-dot-slash • Khả năng
tương tự như tường lửa
Ưu điểm và nhược điểm?
Phương pháp 2: Phân tích lời gọi hệ thống trên máy
chủ:
Phát hiện truy cập tới các file chứa dữ liệu nhạy cảm • Ưu
điểm và nhược điểm?
Phương pháp 3: Phân tích log của dịch vụ • Ưu điểm và
nhược điểm?
10
10
Các thành phần của IDPS
Sensor/Agent:
Cài đặt trên các hệ thống được giám sát
Thu thập dữ liệu thô và chuẩn hóa
Bộ phát hiện: Phân tích và phân loại sự kiện
CSDL tri thức: lưu trữ thông tin về các dạng tấn công đã biết:
Chi dấu tấn công (IoA - Indicator of Attack): các dấu hiệu cho thấy tấn
công có thể hoặc đang xảy ra
Chỉ dấu xâm nhập (IoC - Indicator of Compromise ): các dấu hiệu cho thấy
hệ thống đã bị xâm nhập và thao túng
Bộ phản ứng: Xử lý sự kiện tấn công
Cấu hình hệ thống
Các thành phần khác: CSDL, giao diện người dùng…
12
12
Phản ứng chủ động của IDPS
Phản hồi chủ động là các hành động tự động được
thực hiện khi phát hiện được tấn công
Thu thập thêm thông tin để quyết định cần phải
hành động như thế nào
Thay đổi môi trường, ví dụ
Hủy kết nối
Cấu hình lại bộ định tuyến và tường lửa • Hành động
chống lại kẻ tấn công:
Thu thập thông tin về đối phương và tấn công trả đũa
Thường sử dụng trong chiến tranh mạng
Cần phải xin ý kiến pháp lý
13
13
23
Phát hiện dựa trên dấu hiệu
Signature based detection
Dấu hiệu: một mẫu thông tin tương ứng với một mối đe dọa đã
biết
Phát hiện dựa trên dấu hiệu: so sánh sự kiện quan sát được với
các dấu hiệu đã biết để xác định sự kiện tấn công
Thách thức:
Số lượng dấu hiệu phải đủ lớn
Các tấn công được ngụy trang bằng cách sử dụng các kỹ thuật né tránh
Mỗi loại tấn công có thể có nhiều biến thể • Các hệ thống phức tạp có thể
có nhiều trạng thái
Ưu điểm:
Hiệu quả trong việc phát hiện các kỹ thuật tấn công đã biết
Dễ dàng thu thập dấu hiệu
Nhược điểm: Không hiệu quả trong việc phát hiện các tấn
công chưa biết
24
24
Phát hiện dựa trên luật
Rule-based detection
Luật (Rule): biểu diễn các dấu hiệu của tấn công
Phát hiện dựa trên luật: Sử dụng luật để so sánh và đối chiếu
với thông tin phân tích được từ sự kiện
Luật có thể được định nghĩa để xác định các hành vi đáng ngờ
Ví dụ: Luật trên Snort
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-MISC cross site scripting attempt"; flow:to_server,established;
content:"<SCRIPT>"; nocase; classtype:web-application-attack; sid:1497;
rev:6;)
25
25
Phát hiện bất thường (1)
Phát hiện bất thường:
Định nghĩa các hồ sơ (profile) đại diện cho hành vi bình
thường
So sánh các đặc điểm của hoạt động hiện tại với hồ sơ bình
thường
Phát cảnh báo cho bất kỳ sự khác biệt bất thường nào
Thách thức: xây dựng hồ sơ
Hồ sơ tĩnh (Static profile): không thay đổi trừ khi IDPS được
chỉ định cụ thể để tạo hồ sơ mới
Hồ sơ động (Dynamic profile): được điều chỉnh liên tục khi
quan sát thêm các sự kiện
Ưu điểm: Khả năng phát hiện các mối đe dọa chưa
biết trước đây
Nhược điểm:
Thường tạo ra nhiều cảnh báo sai
Khó xác định lý do tại sao một cảnh báo cụ thể được tạo ra
27
27
Phát hiện bất thường (1)
Giai đoạn huấn luyện: xây dựng các hồ sơ của các
sự kiện bình thường bằng cách thu thập dữ liệu từ
các hoạt động bình thường của hệ thống được giám
sát
Giai đoạn phân loại: so sánh các sự kiện quan sát
với mô hình để phân loại chúng là hợp pháp hoặc
bất thường
Các phương pháp:
Thống kê
Dựa trên tri thức
Học máy
28
28
Các phương pháp thống kê (1)
Phương pháp tham số: Các điểm dữ liệu bình thường tuân
theo một phân phối thống kê cụ thể
Các điểm bất thường lệch đáng kể so với phân phối này • Các bước
thực hiện:
1) Xác định phạm vi giá trị bình thường dự kiến bằng cách sử dụng các
biện pháp thống kê (trung bình, độ lệch chuẩn, trung vị...)
2) Xác định ngưỡng mà vượt quá đó các điểm dữ liệu được coi là bất
thường
3) Chấm điểm bất thường, ví dụ: z-score, IQR, Grubbs' Test
4) Các điểm bất thường lệch đáng kể so với phân phối này • Ví dụ:
|𝑥 𝑚𝑒𝑎𝑛|
𝑧_𝑠𝑐𝑜𝑟𝑒 𝑥 =
𝑠𝑡𝑎𝑛𝑑𝑎𝑟𝑑 𝑑𝑒𝑟𝑖𝑣𝑎𝑡𝑖𝑜𝑛
Đặt ngưỡng threashold = 3
Nếu z_score(x) > 3, x là bất thường
29
29
Các phương pháp thống kê (2)
Phương pháp dựa trên chuỗi thời gian: dự đoán trạng
thái hiện tại của hệ thống dựa trên các quan sát trước đó
Các bước phát hiện dựa trên chuỗi thời gian:
1) Khớp một hàm dự đoán với dữ liệu lịch sử
2) Sử dụng các biện pháp thống kê hoặc khoảng tin cậy để xác định
ngưỡng cho các điểm bất thường
3) Dự đoán trạng thái hiện tại
4) Tính toán phần dư (sự khác biệt giữa các trạng thái quan sát
được và dự đoán)
5) Xác định các điểm thời gian mà phần dư vượt quá ngưỡng là các
điểm bất thường.
Ví dụ: Mô hình Hidden Markov, Autoregressive
Model(AR), Moving Average Model(MA), ARMA, ARIMA
30
30
Phát hiện bất thường dựa trên tri thức
Sử dụng kiến thức chuyên gia, quy tắc hoặc kinh
nghiệm để phát hiện các điểm dữ liệu bất thường hoặc
hành vi bất thường
Đặc điểm chính:
Kiến thức chuyên gia: dựa vào kiến thức chuyên gia về hệ thống
Dựa trên quy tắc: thiết lập một tập hợp các quy tắc hoặc điều
kiện mô tả hành vi bình thường
Các bước của phương pháp dựa trên tri thức:
1) Xác định hành vi bình thường. Ví dụ: Nhân viên truy cập
tài nguyên từ 8 giờ sáng đến 8 giờ tối.
2) Thiết lập quy tắc hoặc ràng buộc
3) Phân tích dữ liệu hoặc sự kiện
4) Đánh dấu các điểm bất thường
33
33
Phát hiện bất thường dựa trên máy học
Sử dụng các thuật toán máy học normal
(Machine Learning) để xây dựng các mô
hình có khả năng phân loại sự kiện bình
thường hay bất thường
Các bước thực hiện
1) Thu thập dữ liệu
2) Xử lý gia công dữ liệu
3) Huấn luyện mô hình: abnormal
Học có giám sát: sử dụng dữ liệu đã được gán
nhãn K-means
Học không giám sát: sử dụng dữ liệu không được gán nhãn
Học bán giám sát: sử dụng dữ liệu đã được gãn nhãn một phần
4) Đánh giá mô hình
5) Sử dụng mô hình để phát hiện
35
35
37

Tài liệu khác của Đại học Bách Khoa Hà Nội

Preview text:

1 3 IDPS là gì?
• Hệ thống phát hiện và ngăn chặn tấn công: Hệ thống
có khả năng giám sát các sự kiện xảy ra trong máy
tính hoặc mạng, phân tích chúng để tìm dấu hiệu xâm
nhập và ngăn chặn tấn công
• Có cấu trúc phức tạp: Bao gồm nhiều hơn một ứng dụng hoặc thiết bị phần cứng
• Không chỉ phân tích lưu lượng mạng
• Không chỉ phát hiện mà còn kết hợp ngăn chặn
• IDPS chỉ là một lớp trong hệ thống phòng thủ theo chiều sâu 4 4 Yêu cầu của IDPS
• Phân tích và đánh giá khối lượng lớn dữ liệu về hoạt
động của hệ thống để tìm dấu hiệu truy cập trái phép
• Phát hiện và ghi nhận thông tin (log) về truy cập trái phép:
• Thông tin được lưu trữ một cách an toàn
• Phản hồi gần như ngay lập tức
• Làm cho chính nó và các hệ thống mà nó bảo vệ khó
bị kẻ tấn công tiếp cận nhất có thể 5 5
Ví dụ (5): Làm thế nào để phát hiện?
• Phương pháp 1: Phân tích lưu lượng mạng
• Phát hiện mẫu ký tự của tấn công dot-dot-slash • Khả năng
tương tự như tường lửa
• Ưu điểm và nhược điểm?
• Phương pháp 2: Phân tích lời gọi hệ thống trên máy chủ:
• Phát hiện truy cập tới các file chứa dữ liệu nhạy cảm • Ưu điểm và nhược điểm?
• Phương pháp 3: Phân tích log của dịch vụ • Ưu điểm và nhược điểm? 10 10 Các thành phần của IDPS • Sensor/Agent:
• Cài đặt trên các hệ thống được giám sát
• Thu thập dữ liệu thô và chuẩn hóa
• Bộ phát hiện: Phân tích và phân loại sự kiện
• CSDL tri thức: lưu trữ thông tin về các dạng tấn công đã biết:
• Chi dấu tấn công (IoA - Indicator of Attack): các dấu hiệu cho thấy tấn
công có thể hoặc đang xảy ra
• Chỉ dấu xâm nhập (IoC - Indicator of Compromise ): các dấu hiệu cho thấy
hệ thống đã bị xâm nhập và thao túng
• Bộ phản ứng: Xử lý sự kiện tấn công • Cấu hình hệ thống
• Các thành phần khác: CSDL, giao diện người dùng… 12 12
Phản ứng chủ động của IDPS
• Phản hồi chủ động là các hành động tự động được
thực hiện khi phát hiện được tấn công
• Thu thập thêm thông tin để quyết định cần phải hành động như thế nào
• Thay đổi môi trường, ví dụ • Hủy kết nối
• Cấu hình lại bộ định tuyến và tường lửa • Hành động
chống lại kẻ tấn công:
• Thu thập thông tin về đối phương và tấn công trả đũa
• Thường sử dụng trong chiến tranh mạng
• Cần phải xin ý kiến pháp lý 13 13 23
Phát hiện dựa trên dấu hiệu • Signature based detection
• Dấu hiệu: một mẫu thông tin tương ứng với một mối đe dọa đã biết
• Phát hiện dựa trên dấu hiệu: so sánh sự kiện quan sát được với
các dấu hiệu đã biết để xác định sự kiện tấn công • Thách thức:
• Số lượng dấu hiệu phải đủ lớn
• Các tấn công được ngụy trang bằng cách sử dụng các kỹ thuật né tránh
• Mỗi loại tấn công có thể có nhiều biến thể • Các hệ thống phức tạp có thể có nhiều trạng thái • Ưu điểm:
• Hiệu quả trong việc phát hiện các kỹ thuật tấn công đã biết
• Dễ dàng thu thập dấu hiệu
• Nhược điểm: Không hiệu quả trong việc phát hiện các tấn công chưa biết 24 24
Phát hiện dựa trên luật • Rule-based detection
• Luật (Rule): biểu diễn các dấu hiệu của tấn công
• Phát hiện dựa trên luật: Sử dụng luật để so sánh và đối chiếu
với thông tin phân tích được từ sự kiện
• Luật có thể được định nghĩa để xác định các hành vi đáng ngờ
• Ví dụ: Luật trên Snort
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-MISC cross site scripting attempt"; flow:to_server,established; content:"

Tài liệu liên quan: