Đồ án Hệ thống phát hiện xâm nhập ids

SSH, IPSec…) - NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. - Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. 4.Host Based IDS (HIDS) Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IPS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường public hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all): Các tiến trình. Các entry của Registry. Mức độ sử dụng CPU. Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. 5.Lợi thế của HIDS: Có khả năng xác đinh user liên quan tới một event. HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. Có thể phân tích các dữ liệu mã hoá. Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này. 6.Hạn chế của HIDS: Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". HIDS phải được thiết lập trên từng host cần giám sát . HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…). HIDS cần tài nguyên trên host để hoạt động. HIDS có thể không hiệu quả khi bị DOS. Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác. Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành. 7.DIDS DIDS là sự kết hợp cả các NIDS sensors với nhau hoặc NIDS và HIDS sensor. Mỗi sensor tạo ra các attack log và gửi đến cho máy trung tâm nơi có chứa database server để xử lý. DIDS có khả năng xử lý tập trung, giúp cho người quản trị có khả năng theo dõi toàn bộ hệ thống. Hiện nay trên thế giới có sự hiện diện của một DIDS lớn nhất với nhiều sensor ở khắp mọi nơi đó là hệ thống Dshield. Dshield là một phần của trung tâm ISC (Internet Storm Center) của viện SANS. SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân tích dữ liệu trong thời gian thực. Network-based IDS không có tác động tới mạng hay host, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch. Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của network-based IDS và trên môi trường chuyển mạch. Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động. Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công. Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ở mạng có mã hóa. Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng. Một ví dụ sử dụng kết hợp NIDS và HIDS. Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép. Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một hacker muốn xâm nhập vào hệ thống. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và không thể phục vụ được). Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông tin credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và network-based IDS có thể phát hiện được tất cả các kiểu tấn công trên. E. Kiến trúc của IDS Ngày nay người ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống. Một hệ thống IDS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công và chính sách quản lý mềm dẻo.Mỗi hệ thống có những ưu điểm cũng như khuyết điểm riêng nhưng các hệ thống có thể được mô tả dưới mô hình tổng quát chung như sau: 1. Các nhiệm vụ thực hiện Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra từ các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm). prevention Simulation Intrustion Monitoring Analysis Intruction detection Notification Respose Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) – theo các chính sách bảo mật của các tổ chức (Hình 2.3.1b). Một IDS là một thành phần nằm trong chính sách bảo mật. Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống. Phát hiện xâm nhập đôi khi có thể đưa ra các báo cảnh sai, ví dụ những vấn đề xảy ra do trục trặc về giao diện mạng hoặc việc gửi phần mô tả các tấn công hoặc các chữ ký thông qua mail. 2. Kiến trúc của hệ thống phát hiện xâm nhập IDS Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin(Dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc. Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như thế nào. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Trong trường hợp nào đó, ví dụ khi luồng dữ liệu sự kiện được truyền tải trực tiếp đến bộ phân tích mà không có sự lưu dữ liệu nào được thực hiện. Điều này cũng liên quan một chút nào đó đến các gói mạng. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. Nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân, nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ. Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng được bảo vệ và phụ thuộc vào phương pháp được đưa ra – tạo phân tích bước đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS. DIDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt được trang bị sự phát hiện các tấn công phân tán. Các vai trò khác của tác nhân liên quan đến khả năng lưu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. Giải pháp kiến trúc đa tác nhân được đưa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đưa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể được nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động được kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chủ từ một host), điều đó có nghĩa là chúng có thể tương quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể được đưa ra để chọn lọc và thu thập dữ liệu. Ngoài ra còn có 1 số điểm chú ý sau: - Kiến trúc, vị trí đặt hệ thống IDS: tùy thuộc vào quy mô tổ chức của doanh nghiệp cũng như mục đích sử dụng hệ thống IDS của doanh nghiệp. - Chiến lược điều khiển: là sự mô tả rõ ràng cho mỗi hệ thống IDS về việc kiểm soát , kiểm tra thông tin đầu vào đầu ra: + Chiến lược tập trung: là việc điều khiển trực tiếp các thao tác như kiểm tra, phát hiện, phân tích, đáp trả, báo cáo từ vị trí trung tâm: +Phân thành nhiều thành phần: Phát hiện, kiểm tra từ các vị trí thành phần rồi về báo cáo về vị trí trung tâm. +Phân phối: Mỗi vùng sẽ có những trung tâm đại diện cho trung tâm chính trực tiếp điều khiển các thao tác giám sát, kiểm tra báo cáo. II.PHƯƠNG THỨC PHÁT HIỆN 1. Misuse – based system Hệ misuse-based có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based. Misuse-based system với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. Attack Match ? Audit Data Knowledge Base Knowledge – based IDS Tiếp theo là hệ signature-based, là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ sẽ tạo ra cảnh báo. Signature-based system hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo, và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau: Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu. Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn. Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó. Ví dụ quen thuộc về signature-based là Snort, EMERALD và nhiều sản phẩm thương mại khác. Có rất nhiều kỹ thuật được sử dụng để phát hiện dùng sai, chúng có sự khác biệt cơ bản về trạng thái bảo dưỡng (và sự quan trọng của đặc tính này với hệ phát hiện xâm nhập trái phép). Stateless IDS coi các sự kiện là độc lập với nhau, khi việc xử lý sự kiện hiện tại đã hoàn tất thì thông tin liên quan đến sự kiện đó sẽ bị hủy đi. Phương pháp tiếp cận này đã đơn giản hóa việc thiết kế hệ thống, đặc biệt là A–box, vì nó không cần phải lưu trữ và bảo quản thông tin về các hành động trước đây. Hệ stateless thường có hiệu năng cao đặc biệt là tốc độ xử lý vì bước phân tích được giảm thành việc so sánh hành động đó với cơ sở dữ liệu, không cần phải xử lý thêm gì nữa. Tuy nhiên, hệ stateless cũng có nhiều giới hạn. Trước tiên là nó không có khả năng phát hiện các hành động có ý đồ xấu bao gồm chuỗi các hành động khác nhau, vì hệ này chỉ xử lý từng hành động một và không lưu chúng lại. Còn nếu ta đưa dấu hiệu về các hành động có ý đồ xấu dựa trên các bước đầu tiên của chuỗi, thì có thể tạo ra số lượng lớn các cảnh báo nhầm, vì hành động đó có thể là một hành động thông thường, phải nằm trong chuỗi các hành động khác mới có khả năng xâm nhập. Điều này ngược với lợi thế chính của hệ misuse–based IDS. Hơn nữa, hệ stateless có thể trở thành mục tiêu cho kiểu tấn công nhằm tạo ra lượng cảnh báo lớn. Các công cụ có thể phân tích cơ sở dữ liệu các kiểu tấn công và tạo ra chuỗi các sự kiện được mô tả là có ý đồ xấu, gây nên “alert storm” làm tê liệt IDS và che dấu ý đồ tấn công thực. Stateful IDS lưu trữ thông tin về các sự kiện trong quá khứ. Vì thế, tác động của các sự kiện là có liên quan đến nhau trong một chuỗi các sự kiện. Trong khi kiểu tiếp cận này làm tăng độ phức tạp cho hệ thống, đặc biệt là A–box, nó cho thấy lợi thế rõ rệt. Stateful tool có khả năng phát hiện được các cuộc tấn công bao gồm nhiều bước, hơn nữa nó cũng ít tạo ra “alert storm” như đã nói đến ở trên vì việc tạo ra các bước của một kiểu tấn công sẽ khó khăn hơn. Tuy nhiên, hệ thống này dễ bị tấn công bằng kiểu tấn công trạng thái, khi kẻ tấn công làm hệ IDS phải xử lý một lượng thông tin lớn, làm giảm hiệu năng của hệ thống. Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ Một kỹ thuật được dùng để mô tả kiểu tấn công phức tạp là Sự chuyển tiếp trạng thái (state transition), trong đó state là trạng thái tạm thời của hệ thống, thể hiện giá trị vùng nhớ của hệ. Những hành động có ý đồ xấu sẽ chuyển trạng thái của hệ từ trạng thái an toàn ban đầu sang trạng thái có hại cuối cùng, thông qua các trạng thái trung gian. Kỹ thuật này yêu cầu phân tích những biến đổi nhằm dẫn hệ tới trạng thái nguy hiểm. IDS sẽ tìm kiếm sự biến đổi đó, vì thế hệ này thuộc dạng stateful. Mô hình chuyển đổi trạng thái này có khả năng diễn tả rất tốt các dạng tấn công, kể cả việc mô tả bằng đồ họa. Trong thực tế, các kiểu tấn công theo nhiều bước rất phù hợp để mô tả bằng mô hình chuyển đổi trạng thái. Nó cũng cung cấp phản hồi rất chi tiết về cảnh báo, vì toàn bộ chuỗi hành động gây cảnh báo có thể được cung cấp. Hơn nữa, nó cho phép triển khai phương thức đối phó trước khi cuộc tấn công đi đến bước cuối cùng, điều này hiệu quả hơn là chỉ phát hiện ra cuộc tấn công. Điểm bất lợi chính của kỹ thuật chuyển đổi trạng thái là nó yêu cầu khả năng tính toán cao nếu hệ thống cần theo dõi nhiều cuộc tấn công cùng lúc. 2. Anomaly – based system Anomaly–based system dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho). Attack Statistically Anomalous ? Audit Data System Profile Anomaly-based IDS Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó. Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện. Vì thế ta có những nghiên cứu về các hệ anomaly – based IDS chuyên sâu và có thể ứng dụng được vào việc phát hiện xâm nhập trái phép trong hệ IDS. III.Phân loại các dấu hiệu 1.Phát hiện dấu hiệu không bình thường Hệ thống phát hiện xâm phạm phải có khả năng phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời. Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) trong một quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng (Hình 2). Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện dị thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công,… một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiệu) cũng được gọi là kiến thức cơ bản. 2.Các mẫu hành vi thông thường- phát hiện bất thường Các mẫu hành vi thông thường rất hữu ích trong việc dự đoán người dùng và hành vi hệ thống. Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông thường và sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile và nhận ra tấn công có thể. Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo ra profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người