Hệ thống phát hiện xâm nhập

 

Phát hiện xâm nhập là quá trình theo dõi các sự kiện xảy ra trong hệ thống máy tính hoặc mạng và phân tích chúng để tìm các dấu hiệu sự cố có thể xảy ra, đó là vi phạm hoặc đe dọa sắp xảy ra vi phạm chính sách bảo mật máy tính, chính sách sử dụng được chấp nhận hoặc thực tiễn bảo mật tiêu chuẩn. Sự cố có nhiều nguyên nhân, chẳng hạn như phần mềm độc hại (ví dụ: sâu, phần mềm gián điệp), kẻ tấn công truy cập trái phép vào các hệ thống từ Internet và người dùng được ủy quyền của các hệ thống lạm dụng đặc quyền của họ hoặc cố gắng để có được các đặc quyền bổ sung mà họ không được phép. Mặc dù nhiều sự cố có bản chất độc hại, nhưng nhiều sự cố khác thì không; ví dụ, một người có thể nhập sai địa chỉ của máy tính và vô tình cố gắng kết nối với một hệ thống khác mà không được phép.

Mục tiêu của Hệ thống phát hiện xâm nhập (IDS) là giám sát tính hiệu quả của các hệ thống kiểm soát bằng cách theo dõi các bằng chứng về các cuộc tấn công. Các biện pháp phát hiện xâm nhập thường là cần thiết để giúp kiểm soát các rủi ro liên quan đến các lỗ hổng phổ biến như virus gây ra e-mail, máy tính xách tay bị nhiễm và các yếu tố con người. Tuy nhiên, để có hiệu quả, một giải pháp IDS đòi hỏi các quy trình và đội ngũ chuyên gia có kỷ luật, cũng như cấu hình giám sát được điều chỉnh và điều chỉnh cẩn thận.

IDS sử dụng nhiều phương pháp phát hiện, riêng biệt hoặc tích hợp, để cung cấp phát hiện chính xác và rộng hơn. Các lớp chính của phương pháp phát hiện như sau:

   - Dựa trên chữ ký, so sánh chữ ký mối đe dọa đã biết với các sự kiện được quan sát để xác định sự cố. Điều này rất hiệu quả trong việc phát hiện các mối đe dọa đã biết nhưng phần lớn không hiệu quả trong việc phát hiện các mối đe dọa chưa biết và nhiều biến thể của các mối đe dọa đã biết. Phát hiện dựa trên chữ ký không thể theo dõi và hiểu trạng thái của các giao tiếp phức tạp, do đó nó không thể phát hiện hầu hết các cuộc tấn công bao gồm nhiều sự kiện.

   - Phát hiện dựa trên sự bất thường, so sánh các định nghĩa về hoạt động nào được coi là bình thường đối với các sự kiện được quan sát để xác định độ lệch đáng kể. Phương pháp này sử dụng các cấu hình được phát triển bằng cách theo dõi các đặc điểm của hoạt động điển hình trong một khoảng thời gian. IDS sau đó so sánh các đặc điểm của hoạt động hiện tại với các ngưỡng liên quan đến hồ sơ. Các phương pháp phát hiện dựa trên sự bất thường có thể rất hiệu quả trong việc phát hiện các mối đe dọa chưa biết trước đây. Các vấn đề phổ biến với phát hiện dựa trên sự bất thường là vô tình bao gồm cả hoạt động độc hại trong hồ sơ, thiết lập các cấu hình không đủ phức tạp để phản ánh hoạt động điện toán trong thế giới thực và tạo ra nhiều kết quả dương tính giả.

   - Phân tích giao thức trạng thái, so sánh các cấu hình được xác định trước của các định nghĩa được chấp nhận chung về hoạt động giao thức lành tính cho từng trạng thái giao thức chống lại các sự kiện quan sát để xác định độ lệch. Không giống như phát hiện dựa trên sự bất thường, sử dụng các cấu hình máy chủ hoặc mạng cụ thể, phân tích giao thức trạng thái dựa trên các cấu hình phổ quát do nhà cung cấp phát triển, chỉ định cách các giao thức cụ thể không nên và không nên được sử dụng. Nó có khả năng hiểu và theo dõi trạng thái của các giao thức có khái niệm về trạng thái, cho phép nó phát hiện nhiều cuộc tấn công mà các phương thức khác không thể. Các vấn đề với phân tích giao thức trạng thái bao gồm rất khó hoặc không thể phát triển các mô hình giao thức hoàn toàn chính xác, nó rất tốn tài nguyên và nó không thể phát hiện các cuộc tấn công không vi phạm các đặc điểm của hành vi giao thức thường được chấp nhận.

 

Liên hệ

Công ty TNHH Đầu tư và Công nghệ DHA

Đăng ký kinh doanh: Số 46 Lô F2 Đại Kim Đình Công Newtown, Quận Hoàng Mai, Hà Nội, Việt Nam
Văn phòng đại diện: R1202, Khu A, Tòa nhà Goldenland, 275 Nguyễn Trãi, Thanh Xuân, Hà Nội, Việt Nam
+84 024 7305 3389
contact@dhag.com.vn