Ids la gì

INTRUSION DETECTION SYSTEM

HỆ THỐNG INTRUSION DETECTION SYSTEM - IDS LÀ GÌ?

Hệ thống phát hiện xâm nhập (tiếng Anh: intrusion detection system (IDS)) là một thiết bị hoặc ứng dụng phần mềm giám sát mạng hoặc hệ thống máy tính về những hoạt động xấu hoặc các vi phạm chính sách. 

Bất kỳ hoạt động hoặc vi phạm nào được phát hiện thường báo cáo cho quản trị viên hoặc thu thập tập trung bằng hệ thống thông tin bảo mật và quản lý sự kiện (SIEM). 

Một hệ thống SIEM kết hợp các kết quả đầu ra từ nhiều nguồn và sử dụng các kỹ thuật lọc báo động để phân biệt hoạt động xấu từ các báo động sai lầm.

Có nhiều loại IDS, từ phần mềm chống virus đến các hệ thống phân cấp theo dõi lưu lượng truy cập của toàn bộ mạng. Các phân loại phổ biến nhất là:

• Hệ thống phát hiện xâm nhập mạng (NIDS) 
• Hệ thống phát hiện xâm nhập dựa vào máy tính cá nhân (HIDS)

Một hệ thống giám sát các tập tin hệ điều hành quan trọng là một ví dụ của HIDS, trong khi một hệ thống phân tích lưu lượng mạng đến là một ví dụ của một NIDS. Cũng có thể phân loại IDS theo cách tiếp cận phát hiện: các biến thể nổi tiếng nhất là phát hiện dựa trên dấu hiệu (nhận dạng xấu, chẳng hạn như phần mềm độc hại) và phát hiện dựa trên sự bất thường (phát hiện độ lệch từ mô hình "lưu lượng truy cập" tốt) thường dựa vào học máy). 

Một số IDS có khả năng đáp ứng với các sự xâm nhập được phát hiện. Các hệ thống có khả năng phản hồi thường được gọi là hệ thống ngăn ngừa xâm nhập (intrusion prevention system).

• Xem thêm: Hệ thống quản lý tòa nhà -  BMS là gì ?

Intrusion Detection System - IDS là gì?

HẠN CHẾ CỦA IDS

• Tiếng ồn có thể hạn chế nghiêm trọng hiệu quả của hệ thống phát hiện xâm nhập. Các gói dữ liệu xấu được tạo ra từ lỗi phần mềm, dữ liệu DNS bị hỏng và các gói cục bộ thoát ra ngoài có thể tạo ra tỷ lệ báo động sai cao đáng kể. 
• Số lượng các cuộc tấn công thực thường thấp hơn rất nhiều so với số lượng cảnh báo giả mà các cuộc tấn công thực thường bị bỏ qua.
• Nhiều cuộc tấn công nhằm vào các phiên bản phần mềm cụ thể thường đã lỗi thời. Cần có một thư viện chữ ký thay đổi liên tục để giảm thiểu các mối đe dọa. Cơ sở dữ liệu chữ ký lỗi thời có thể khiến IDS dễ bị ảnh hưởng bởi các chiến lược mới hơn. 
• Đối với IDS dựa trên chữ ký, sẽ có độ trễ giữa việc phát hiện ra mối đe dọa mới và chữ ký của nó được áp dụng cho IDS. Trong thời gian trễ này, IDS sẽ không thể xác định được mối đe dọa. [28]
• Nó không thể bù đắp cho các cơ chế nhận dạng và xác thực yếu hoặc các điểm yếu trong giao thức mạng. Khi kẻ tấn công giành được quyền truy cập do cơ chế xác thực yếu thì IDS không thể ngăn chặn kẻ xấu khỏi bất kỳ sơ suất nào.
• Các gói được mã hóa không được xử lý bởi hầu hết các thiết bị phát hiện xâm nhập. Do đó, gói được mã hóa có thể cho phép xâm nhập vào mạng mà chưa được phát hiện cho đến khi xảy ra nhiều vụ xâm nhập mạng quan trọng hơn.
• Phần mềm phát hiện xâm nhập cung cấp thông tin dựa trên địa chỉ mạng được liên kết với gói IP được gửi vào mạng. Điều này có lợi nếu địa chỉ mạng có trong gói IP là chính xác. Tuy nhiên, địa chỉ chứa trong gói IP có thể bị giả mạo hoặc bị đánh tráo.
• Do bản chất của các hệ thống NIDS và nhu cầu phân tích các giao thức khi chúng được nắm bắt, các hệ thống NIDS có thể dễ bị tấn công dựa trên giao thức tương tự mà các máy chủ mạng có thể dễ bị tấn công. Dữ liệu không hợp lệ và các cuộc tấn công TCP / IP có thể gây ra sự cố NIDS. 
• Các biện pháp bảo mật trên điện toán đám mây không xem xét sự thay đổi của nhu cầu về quyền riêng tư của người dùng. Họ cung cấp cơ chế bảo mật giống nhau cho tất cả người dùng bất kể người dùng là công ty hay cá nhân

Xem thêm: 4 công nghệ trong thị trường việc làm tương lai

KỸ THUẬT TRÁNH IDS

Có một số kỹ thuật mà kẻ tấn công đang sử dụng, sau đây được coi là các biện pháp 'đơn giản' có thể được thực hiện để trốn tránh IDS:

• Phân mảnh: bằng cách gửi các gói tin bị phân mảnh, kẻ tấn công sẽ nằm dưới tầm ngắm của radar và có thể dễ dàng vượt qua khả năng phát hiện chữ ký tấn công của hệ thống phát hiện.
• Tránh mặc định: Cổng TCP được sử dụng bởi một giao thức không phải lúc nào cũng cung cấp chỉ báo cho giao thức đang được truyền tải. Ví dụ: IDS có thể phát hiện ra trojan trên cổng 12345. Nếu kẻ tấn công đã cấu hình lại nó để sử dụng một cổng khác, IDS có thể không phát hiện được sự hiện diện của trojan.
• Các cuộc tấn công có sự phối hợp, băng thông thấp: phối hợp quét giữa nhiều kẻ tấn công (hoặc tác nhân) và phân bổ các cổng hoặc máy chủ khác nhau cho những kẻ tấn công khác nhau khiến IDS khó tương quan với các gói đã bắt được và suy ra rằng một quá trình quét mạng đang diễn ra.
• Giả mạo / ủy quyền địa chỉ: kẻ tấn công có thể làm tăng độ khó của Quản trị viên bảo mật trong khả năng xác định nguồn gốc của cuộc tấn công bằng cách sử dụng các máy chủ proxy được bảo mật kém hoặc được định cấu hình không chính xác để thực hiện một cuộc tấn công. Nếu nguồn bị giả mạo và bị trả lại bởi một máy chủ, sẽ khiến IDS rất khó phát hiện ra nguồn gốc của cuộc tấn công.
• Tránh thay đổi mẫu: IDS thường dựa vào 'đối sánh mẫu' để phát hiện một cuộc tấn công. Bằng cách thay đổi một chút dữ liệu được sử dụng trong cuộc tấn công, có thể tránh bị phát hiện. Ví dụ: máy chủ Giao thức Truy cập Thư Internet (IMAP) có thể dễ bị tràn bộ đệm và IDS có thể phát hiện ra chữ ký tấn công của 10 công cụ tấn công phổ biến. Bằng cách sửa đổi trọng tải được gửi bởi công cụ để nó không giống với dữ liệu mà IDS mong đợi, có thể tránh được sự phát hiện.

Xem thêm:  Kinh nghiệm mở công ty phần mềm (IT)

HỆ THỐNG MÃ NGUỒN MỞ VÀ MIỄN PHÍ

• ACARM-ng
• AIDE
• AIEngine (phần mềm)
• Fail2ban
• OSSEC HIDS
• Prelude IDS kết hợp
• Sagan
• Samhain
• Snort, GPLv2 + do Cisco phát triển.
• Suricata
• Zeek

Nguồn: Wikipedia