Phát hiện xâm nhập trái phép

Các hướng tiếp cận

Nguyễn Linh Giang

Bộ môn Truyền thông và Mạng máy tính
Viện CNTT&TT, Đại học Bách Khoa Hà Nội
Nội dung

• Bối cảnh an toàn an ninh thông tin

• Xâm nhập trái phép mạng
• Các cách tiếp cận phát hiện bất thường
Bối cảnh an toàn an ninh thông tin
• Số liệu của VNCERT
• Năm 2013: tấn công tin tặc: 6379 vụ
• 2142 vụ tấn công mã độc
• 2469 vụ tấn công lừa đảo
• 1603 vụ tấn công phá hoại
• Số liệu thế giới

Số liệu của JPCERT

Số liệu của TWNCERT

 Tấn công vào hệ thống và
mô hình an toàn an ninh hệ thống
• Phân loại theo tác động lên dữ liệu, hệ thống
• Tấn công thụ động: nghe trộm, phân tích
• Tấn công chủ động
• DoS, DDoS
Hệ thống thông tin và
• Tấn công mạng truyền thông
• Tấn công vật lý
• Trojan Dò tìm
• Worm Ngăn Phát
và
• Virus kiểm
chặn hiện
• …
Tấn công vào hệ thống xâm xâm
soát lỗ
hổng,
nhập nhập
điểm
yếu
Xâm nhập trái phép và phát hiện xâm nhập
trái phép vào mạng
• Xâm nhập trái phép mạng
• Là tác động vào hệ thống và mạng
• Làm giảm tính an toàn, an ninh của hệ thống tính toán và
mạng.
• Tác động vào tính riêng tư, tính toàn vẹn, tính sẵn sàng của hệ
thống.
• Tác động từ những tác nhân bên ngoài, bên trong
• Truy cập trái phép, không được ủy quyền;
• Giành quyền kiểm soát trái phép các cơ chế an toàn an ninh
hệ thống;
Xâm nhập trái phép và phát hiện xâm nhập
trái phép vào mạng
• Phát hiện tấn công vào hệ thống:
• Giám sát và phân tích hoạt động của hệ thống, tác nhân và người
sử dụng;
• Cấu hình hệ thống để có thể nhận được những báo cáo thống kê về
các điểm yếu hệ thống;
• Đánh giá tính toàn vẹn của hệ thống và file dữ liệu;
• Nhận biết các mẫu của những dạng tấn công phổ biến;
• Phân tích các hoạt động không bình thường của hệ thống, tác nhân
hay người sử dụng;
• Theo dõi và dò vết các hoạt động trái phép của người sử dụng.
Hệ thống phát hiện xâm nhập mạng

• Hệ thống phát hiện xâm nhập

• HIDS
• Giám sát và phân tích hoạt động nội tại của hệ thống tính toán;
• Hoạt động của các tiến trình;
• Các hoạt động truy cập dữ liệu, tài nguyên;
• Các hoạt động truy cập của các tác nhân hệ thống
Hệ thống phát hiện xâm nhập mạng
• NIDS
• Giám sát và phân tích dữ liệu mạng và phát hiện xâm nhập
• Xâm nhập mạng gây nên những hoạt động khác thường của hệ thống
• Phát hiện xâm nhập là phát hiện ra những biểu hiện khác thường này.
• Hoạt động
• Đọc toàn bộ các luồng dữ liệu, các gói tin tới trong mạng
• Đọc các luồng dữ liệu đi từ mạng ra hoặc nội tại của mạng
• Phân tích và tìm ra các mẫu dữ liệu khả nghi
• Misuse based IDS: tìm những mẫu tấn công đã biết
• Anomaly based IDS: tìm những mẫu dữ liệu khác thường, thể hiện khả
năng tấn công.
• Hybrid IDS
 Phát hiện xâm nhập theo phát hiện bất
thường
• Thế nào là hoạt động bình thường của hệ thống ?
• Mô hình hóa hoạt động bình thường của mạng
• Thế nào là bất thường ?
• Mọi hoạt động của hệ thống lệch khỏi trạng thái bình thường đủ lớn.
• Phát hiện bất thường
Cần phải có:
• Mô hình hoạt động bình
thường của hệ thống mạng
• Độ đo sự tương hợp
S = (M, D)