Bộ môn Truyền thông và Mạng máy tính Viện CNTT&TT, Đại học Bách Khoa Hà Nội Nội dung
• Bối cảnh an toàn an ninh thông tin
• Xâm nhập trái phép mạng • Các cách tiếp cận phát hiện bất thường Bối cảnh an toàn an ninh thông tin • Số liệu của VNCERT • Năm 2013: tấn công tin tặc: 6379 vụ • 2142 vụ tấn công mã độc • 2469 vụ tấn công lừa đảo • 1603 vụ tấn công phá hoại • Số liệu thế giới
Số liệu của JPCERT
Số liệu của TWNCERT
Tấn công vào hệ thống và mô hình an toàn an ninh hệ thống • Phân loại theo tác động lên dữ liệu, hệ thống • Tấn công thụ động: nghe trộm, phân tích • Tấn công chủ động • DoS, DDoS Hệ thống thông tin và • Tấn công mạng truyền thông • Tấn công vật lý • Trojan Dò tìm • Worm Ngăn Phát và • Virus kiểm chặn hiện • … Tấn công vào hệ thống xâm xâm soát lỗ hổng, nhập nhập điểm yếu Xâm nhập trái phép và phát hiện xâm nhập trái phép vào mạng • Xâm nhập trái phép mạng • Là tác động vào hệ thống và mạng • Làm giảm tính an toàn, an ninh của hệ thống tính toán và mạng. • Tác động vào tính riêng tư, tính toàn vẹn, tính sẵn sàng của hệ thống. • Tác động từ những tác nhân bên ngoài, bên trong • Truy cập trái phép, không được ủy quyền; • Giành quyền kiểm soát trái phép các cơ chế an toàn an ninh hệ thống; Xâm nhập trái phép và phát hiện xâm nhập trái phép vào mạng • Phát hiện tấn công vào hệ thống: • Giám sát và phân tích hoạt động của hệ thống, tác nhân và người sử dụng; • Cấu hình hệ thống để có thể nhận được những báo cáo thống kê về các điểm yếu hệ thống; • Đánh giá tính toàn vẹn của hệ thống và file dữ liệu; • Nhận biết các mẫu của những dạng tấn công phổ biến; • Phân tích các hoạt động không bình thường của hệ thống, tác nhân hay người sử dụng; • Theo dõi và dò vết các hoạt động trái phép của người sử dụng. Hệ thống phát hiện xâm nhập mạng
• Hệ thống phát hiện xâm nhập
• HIDS • Giám sát và phân tích hoạt động nội tại của hệ thống tính toán; • Hoạt động của các tiến trình; • Các hoạt động truy cập dữ liệu, tài nguyên; • Các hoạt động truy cập của các tác nhân hệ thống Hệ thống phát hiện xâm nhập mạng • NIDS • Giám sát và phân tích dữ liệu mạng và phát hiện xâm nhập • Xâm nhập mạng gây nên những hoạt động khác thường của hệ thống • Phát hiện xâm nhập là phát hiện ra những biểu hiện khác thường này. • Hoạt động • Đọc toàn bộ các luồng dữ liệu, các gói tin tới trong mạng • Đọc các luồng dữ liệu đi từ mạng ra hoặc nội tại của mạng • Phân tích và tìm ra các mẫu dữ liệu khả nghi • Misuse based IDS: tìm những mẫu tấn công đã biết • Anomaly based IDS: tìm những mẫu dữ liệu khác thường, thể hiện khả năng tấn công. • Hybrid IDS Phát hiện xâm nhập theo phát hiện bất thường • Thế nào là hoạt động bình thường của hệ thống ? • Mô hình hóa hoạt động bình thường của mạng • Thế nào là bất thường ? • Mọi hoạt động của hệ thống lệch khỏi trạng thái bình thường đủ lớn. • Phát hiện bất thường Cần phải có: • Mô hình hoạt động bình thường của hệ thống mạng • Độ đo sự tương hợp S = (M, D)